¿Con qué frecuencia los parches de seguridad interrumpen las aplicaciones empresariales [cerrado]

7

¿Existen estadísticas sobre la fiabilidad de los parches de seguridad? ¿Como la fracción recordada o corregida?

Parte de mantener una computadora segura es aplicarle parches de seguridad. El período entre la disponibilidad de un parche y su instalación conlleva un mayor riesgo de compromiso, ya que los piratas informáticos han sido alertados acerca de una vulnerabilidad. Si su única preocupación es la seguridad, debería instalar todos los parches de seguridad e instalarlos lo antes posible.

Sin embargo, conozco a administradores de sistemas profesionales (en el sentido de que se les paga para hacer el trabajo) que no instalan parches de seguridad porque, dicen, les preocupa que la instalación de los parches "romperá" su sistema de alguna manera .

Es fácil denunciarlos como tontos. Pero un análisis más matizado señala que su trabajo no es no simplemente mantener un sistema informático seguro. El sistema tiene una tarea comercial que hacer, y una brecha de seguridad es solo una de las varias fallas por las que deben preocuparse. Un enfoque racional toma en cuenta el costo de cada modo de falla, el costo de las protecciones contra la falla y su probabilidad de ocurrir. No instalar parches puede ser una decisión racional, al menos en teoría, en algunas circunstancias. Más razonablemente, retrasar la instalación de un parche mientras se espera para ver si tiene problemas podría ser racional en más circunstancias.

Sin embargo, para que tales decisiones sean racionales, la probabilidad de que un parche de seguridad rompa una aplicación empresarial debe ser conocida y moderadamente alta. De lo contrario, la razón dada es más una excusa para la pereza.

¿Qué tan probable es que un parche de seguridad para un marco o componente del sistema operativo (como un servidor web) rompa una aplicación empresarial que se ejecuta en esa plataforma? ¿Existe alguna estadística sobre la probabilidad de que un parche se rompa algo?

Ahora, nadie hace un cálculo matemático de la ganancia esperada, sino que opera con algunas intuiciones sobre el riesgo relativo. Sospecho que los administradores del sistema tienen una intuición errónea acerca de la posibilidad de que un parche rompa su sistema. Como programador de aplicaciones empresariales, me resulta difícil creer que un parche para un componente o marco del sistema operativo que haya sido probado razonablemente por el proveedor podría romper la aplicación, a menos que la aplicación estuviera mal escrita y plagada de errores que plantearan otros riesgos comerciales. de todas formas. Pero, ¿cómo podemos corregir tales intuiciones defectuosas sin algún tipo de estadísticas sobre parches defectuosos? ¿Como la fracción de parches recordados o corregidos?

    
pregunta Raedwald 04.06.2016 - 16:07
fuente

2 respuestas

1

Un enfoque más racional adoptado en los mismos lugares, no es evitar las actualizaciones por completo, sino demorar y probar antes de aplicar. Las grandes organizaciones como Microsoft, Apple y Mozilla han implementado malas actualizaciones en los dispositivos de renderización anteriores o software inutilizable o inutilizable detrás de un proxy / firewall, etc. Puede ser un buen riesgo calculado retrasar una actualización por un tiempo para ver si hay algún problema que aparece poco después de su lanzamiento, y luego se aplica la actualización a algunos sistemas no críticos primero para detectar problemas en el entorno local, antes de un despliegue más amplio.

    
respondido por el Ben 04.06.2016 - 17:02
fuente
0

La estrategia de parches es parte de una evaluación de riesgos para una empresa. Su caso específico puede variar desde "nunca aplicar parches de seguridad" a "aplicar parches de seguridad tan pronto como se publiquen".

El problema que describe es bien conocido y está muy extendido. No aplicar parches (seguridad u otros) se explica por varias razones más o menos racionales (evitar el tiempo de inactividad, evitar la rotura, "demasiado complicado", ...). Depende de la persona a cargo de la seguridad de la información de su empresa poner el problema sobre la mesa. Uno de los resultados correctos puede ser "no aplicaremos parches".

Poner el problema en la mesa y formalizarlo a través de una política ayuda a todos: la gente de seguridad está contenta, los administradores tienen una política de ass-coverer que respalda sus actividades En caso de que las cosas vayan hacia el sur, la auditoría interna puede marcar otra marca de verificación y, en última instancia, la compañía se beneficiará de eso.

Por supuesto, no es posible responder a su pregunta. Es posible que tenga historias de horror sobre lo mal que lo fue, le daré la mía (spoiler: final feliz): en una empresa muy grande, hace 12 años, fue subcontratada a una empresa de servicios. Esta empresa instaló su sistema de administración de parches y se olvidó de desactivarlo. 40,000 máquinas Windows se actualizaron al momento con parches que datan de años atrás. Hubo un día de tensión, ya que otro software también requería una actualización y luego todo salió bien. YMMV.

    
respondido por el WoJ 04.06.2016 - 20:19
fuente

Lea otras preguntas en las etiquetas