В начале 2019, ИМП ульс Secure выпустил заплату для уязвимости сервера VPN.
Компания контактировала клиенты по телефону, электронную почту, сигналы тревоги в-продукта, и онлайн уведомления для того чтобы напомнить их для установки заплаты, но этот прошлый январь отдел Cybersecurity безопасности родины и агентства по безопасности инфраструктуры выпустил сигнал тревоги который сказал что он видело «широкое эксплуатирование» уязвимости.
CISA выдало другой сигнал тревоги в апреле о том, как далекие атакующие распространяли через правительство и коммерчески сети после эксплуатировать это уязвимость. Несмотря на эти усилия сообщить организации об угрозе, некоторые компании не суменные для того чтобы залатать. На самом деле, ранее в этом месяце хакер протекал имена пользователя и пароли для больше чем 900 пульсируют безопасные серверы VPN.
Что здесь происходит? Почему имеют компаниям так много тревогу с такой основной частью гигиены cybersecurity, латать?
Согласно исследованию выпущенному в конце прошлого года институтом Ponemon, 60% из проломов которые произошли над предыдущими 2 летами смогло быть предотвращено если заплата была приложена во времени. Но только 32% из респондентов сказало что они могли уменьшить время оно принимает для того чтобы залатать критические уязвимости сравненные к предыдущему году -- белое 36% сказало что оно фактически приняло более длиной чем оно сделал раньше.
Проблема управления заплаты настолько большая что организации могут побежать в «усталость заплаты,» сказала Ангелосу Keromytis, профессору на институте технологии Грузии фокусируя на системах и безопасности сети, и сооснователе технологии безопасности очарования cybersecurity твердой.
«Когда вы бежите большой центр данных, предел к насколько вы можете держать глаз дальше,» ему сказали знание центра данных.
К тому же, иногда люди думают что заплаты не применяются к ним.
«Из-за как они устанавливали сети и применения, много реальностей считают, что они изолировано, поэтому они думают они нет как уязвимый,» сказал он. «Пук различных рационализаций для не латать.»
Центры данных особенно уязвимые
Латать проблема для большинств больших организаций, но центры данных имеют определенные проблемы. Эти включают потенциальные нарушения дела должные к времени простоя, нарушения должные к непредвиденным последствиям, и недостаток осведомленности уязвимых систем.
Согласно Грег Touhill, президент группы AppGate федеральной -- фирма cybersecurity закрутила поставщиком Cyxtera центра данных в прошлом году -- и офицер во время администрации Обамы, менеджеры информационной безопасности страны первый главный центра данных всегда не осведомлен где уязвимости.
Во-первых, терновая проблема общей ответственности. Если центр данных в объекте colocation, или в облаке, то поставщик отрегулирует некоторые но не все задачи безопасностью. От стороны поставщиков, только так много они могут сделать с инфраструктурой клиентов.
«Фактические обслуживание и конфигурация оборудования в шкафе часто все еще сохранены клиентом,» Touhill сказало DCK.
Даже когда зоны ответственности ясны, проблема учить об уязвимостях которым нужно залатать.
«Когда я находился в военновоздушной силе, мы имели бы наши собственные красные команды пойти вне и использовать коммерчески стандартные инструменты которые потенциальные хакеры и противники использовали бы, просматривая инструменты, и нас просмотрел бы от внутренности и развертка от снаружи,» Touhill сказало. «И мы использовали бы испытание ручки третьей стороны которое сделало бы логически и физические тесты ручки.»
Хакеры часто открывают уязвимые, неисправные системы путем просматривать сеть -- или путем приобретать вход к окружающей среде и после этого просматривать внутренние сети для обнаружения возможностей распространить дальше.
Тревога с временем простоя
Самая большая проблема всех для центров данных что латать может причинить время простоя.
Клиенты ожидают их центры данных для того чтобы быть вверх по 100% из времени, Josh Axelrod, руководитель cybersecurity на Ernst & Young, сказали DCK.
В результате латать мог случиться во время очень ограниченных временных рамок, когда оно будет наиболее меньше разрушителен. Это значит что оно может принять долгое время получить вокруг к латать некоторые системы. Одно решение к этой проблеме смогло прийти от космоса восстановления после стихийного бедствия. Если некоторая из инфраструктуры центра данных идет вниз, то хорошая система восстановления после стихийного бедствия автоматически перенесла бы затронутые рабочие нагрузки к резервной окружающей среде. Что такая же система смогла, в теории, используйте для латать.
«Клиенты могут увидеть что их рабочие нагрузки немедленно свернули сверх к чистой окружающей среде где заплата была приложена,» он сказали.
Хотя этот вид дорого стоит инфраструктуры, который нужно настроить и универсально не доступен, Axelrod заметил, «это где нам нужно получить к.»
Другая главная проблема с латая системами центра данных что заплаты могли сломать критические коммерческие деятельности.
«Вы не знаете как это обновление идет повлиять на будучи бежать применения,» Кейт Mularski, управляющий директор для практики cybersecurity на Ernst & Young, сказали нам.
Бег автоматическ-обновления на компьютере критической точки может принять вниз одну урожайность работника если вещи идут неправильно. Автоматическ-обновление на операционной системе сервера смогло причинить всю компанию выключить.
«Вы должны испытать и убеждаться заплата не плотно сжимает ваше дело,» сказал он.
Один подход использовать интегрированные среды разработки что организация могла уже иметь на месте для применения испытывая для проверки для прогнозируемых проблем после того как заплата будет приложена, но это требовало бы некоторой координации между менеджерами центра данных и командами разработки приложений.
Автоматизируйте, outsource, или движение к облаку
Vikas Shah, VP ИТ на AArete, консультационной фирме консалтинга по менеджменту, сказало нам что если центр данных не имеет ресурсы для того чтобы получить ручку на латая проблеме, то некоторые варианты. Одно было бы проинвестировать в испытывая окружающих средах для уменьшения залатать сложность и время простоя, и в технологии автоматизации. Майкрософт, например, предлагает обслуживания обновления сервера Windows и системы разбивочный менеджер конфигурации.
«Оба из этих продуктов предлагают большие решения но построены для больших организаций с преданными командами,» сказал он.
Другие инструменты включают менеджера заплаты Solarwinds, менеджера заплаты LANDesk, положительной величины менеджера заплаты ManageEngine, и заплаты Ivanti Windows.
«Больший часть из этих инструментов может работать независимо так же, как может интегрировать с [Майкрософт] WSUS или SCCMs,» он сказал, добавляющ что также поставщики сервера которые могут отрегулировать работу, включая Rackspace, соединение, осведомленные.
В конце концов, Shah предложило что предприятия рассматривают двинуть их центры данных от на-предпосылок к облаку. Двигающ к облаку не освобождает компанию от всей ответственности за свою собственную безопасность, но поставщики облака делают для регуляции латая требований связанных с основной инфраструктурой.