В связи ситуацией, сложившейся на российском IT-рынке, когда крупные иностранные компаний приостанавливают работу, отзывают лицензии и ограничивают работу своих продуктов, рекомендуется пересмотреть существующие политики обновления.
Мы обратились к инженерам отдела IT-аутсорсинга компании «СофтЭксперт», чтобы получить ответы на вопросы, которые сейчас беспокоят многих руководителей компаний.
— Что именно следует сделать в первую очередь при работе с обновлениями?
Мы рекомендуем отключить автоматическое обновление системы и программного обеспечения, с осторожностью устанавливать обновления вручную. Нельзя исключать, что недобросовестные разработчики с очередным обновлением не добавят в свои продукты не декларированные возможности, в том числе бэкдоры, или функциональность, которая нарушает стабильную работу системы.
— Бэкдоры — известная проблема, которую можно отследить с помощью антивирусных программ. А что насчет функциональности? Можете привести примеры подобных вредоносных обновлений?
Один из ярких примеров — автор плагина Mistape, который используется для отправки администраторам сайтов сообщений об ошибках в статьях в Wordpress. 24 февраля были внесены изменения в плагин. При обращении к определённому URL на сайте, пользователь получал права администратора и мог делать всё, что угодно. Автор дождался, пока обновление разойдется по пользователям, чтобы через несколько дней начать эксплуатировать занесённую туда уязвимость.
— Есть мнение, что отключение обновлений, как мера борьбы с недобросовестными разработчиками, создаст большую угрозу для системы и данных пользователей. К чему приведет полный отказ от обновлений?
Полностью отказаться от обновлений невозможно. Долгое отсутствие исправлений безопасности снижает общую защищённость системы, так как новые уязвимости появляются регулярно, и ими могут использовать злоумышленники. Данные риски существовали и раннее, но сейчас вопрос безопасности и стабильной работы стоит особенно актуален. Мы рекомендуем, тщательно протестировать работу обновлений перед их использованием в инфраструктуре.
— Расскажите подробнее о тестах обновлений. Как компании могут это сделать?
В любой компании обязательно должен быть тестовый контур. Он представляет собой тестовые ПК, на которых можно запустить и проверить то или иное обновление, подразумевая, что на этих устройствах может что-то сломаться или перестать работать. Таким образом, работа основной системы не нарушится.
— Обновления для операционной системы тестируются также?
Да, если в организации для обновлений используется WSUS (Windows Server Update Services), которая предназначена для централизованной установки обновлений Windows. Сначала необходимо проверить основную функциональность на тестовом контуре, и, если проблемы не выявлены, можно отправлять обновления на основные устройства.
— Обслуживание тестового контура — трудоемкий процесс, его часто передают на IT-аутсорсинг. Почему это выгодно для клиента?
Хотя масштабные сбои получают широкую огласку, IT-отделы или специалисты в компании не всегда успевают следить за новостями в силу загруженности. В качестве примера, в январе Microsoft выпустило обновление, которое нарушило работу VPN с шифрованием, из-за чего у сотрудников, работающих удаленно, возникали проблемы с подключением. Мы узнали об этом быстрее, чем с проблемой обратились клиенты, поэтому устранили затруднение в минимальные сроки.
— Я правильно понимаю, что отключения автоматических обновлений и создания тестового контура будет достаточно для обеспечения безопасности IT-инфраструктуры в современных условиях?
Это только первый шаг. Для стабильной и безопасной работы необходим комплексный подход. Компаниям нужно тщательно продумать организационные меры в купе с техническими ограничениями, проверить корректность работы системы межсетевого экранирования, антивирусной защиты, настроить прав доступа по принципу наименьших привилегий.
Использование систем мониторинга позволяет оперативно получать оповещения о возникновении нештатных ситуаций. А тщательное тестирование изменений в существующей инфраструктуре является залогом стабильной работы системы. Только все меры в комплексе обеспечат должный уровень защищённости и снизят вероятность компрометации системы.
— Поможет ли импортозамещение решить проблемы безопасности?
Переход на российское программное обеспечение — это действенная мера для снижения вероятности ограничения функциональности после обновления зарубежных продуктов. На сегодняшний день представлено множество альтернатив, в том числе операционные системы Astra и Alt Linux, на основе которых возможно построение полноценной инфраструктуры организации. Российское ПО внесено в государственный реестр и имеет действующие сертификаты ФСТЭК, многие продукты прошли проверку и безопасны для работы с информацией высокого уровня секретности.
— Несмотря на очевидные преимущества перехода на российское программное обеспечение, компании с осторожностью относятся к этой идее. В частности, их беспокоит проблема стабильности системы и сохранности данных.
Нужно понимать, что переезды не проходят гладко, всегда могут быть накладки. Чтобы максимально снизить риски для клиента, мы проводим тщательный аудит существующей IT-инфраструктуры. Проверяем и оцениваем все, начиная от физического оборудования и заканчивая уровнем приложений, чтобы подобрать оптимальное решение с учетом специфики инфраструктуры и бизнес-процессов конкретной компании.
Данные клиента переносятся на резервные серверы и не потеряются в процессе миграции на новую систему и программное обеспечение, но это может занять время. Кроме того, проведенный аудит позволяет составить поэтапный план перехода на отечественный софт и обеспечить стабильность всей системы.
Вывод
Отключение автоматических обновлений и проверка на тестовом контуре — это только временная мера в условиях, когда зарубежные IT-компании приостановили свою деятельность и продажи лицензий на российском рынке.
Мы рекомендуем пересмотреть политику обновлений и использовать комплексные меры для обеспечения безопасности и стабильной работы всех систем.
Лучшим решением будет проведение аудита IT-инфраструктуры и поэтапный переход на российское программное обеспечение, безопасность которого подтверждена сертификатами ФСТЭК. Оставить заявку на проведение аудита IT-инфраструктуры и настройку тестового контура можно на сайте «СофтЭксперт». Специалисты компании ответят на ваши вопросы и помогут подобрать решения для легкого перехода с импортного на отечественное ПО.