Tietoturva

Korjaustiedostojen hallinta

Julkaistu: toukokuu 4, 2006
Kirjoittaja(t): Randy Franklin Smith, CISA, SSCP, Microsoft Security MVP

Korjaustiedostot ovat turvallisen ja hallitun ympäristön välttämätön komponentti. Mitä tahansa muita suojauskeinoja onkaan käytössä, osa riskeistä voidaan torjua ainoastaan korjaustiedostoilla. Tämä ei kuitenkaan tarkoita sitä, että organisaatioiden tulisi ladata jokaiseen järjestelmään julkaistu jokainen korjaustiedosto niin pian kuin mahdollista. Vaikka korjaustiedostojen toimittajat tekevät parhaansa, saattaa epävakautta ja yhteensopivuusongelmia esiintyä. Jotkut korjaustiedostot edellyttävät järjestelmän uudelleenkäynnistämistä, mikä voi olla ongelmallista kiireisillä palvelimilla. Korjaustiedoston testaaminen ennen täysimittaista käyttöönottoa tuotantoympäristössä kuluttaa resursseja. Tästä syystä monet organisaatiot eivät lataa korjaustiedostoja ympäristöihin, jotka eivät ole haavoittuvia; ympäristöt turvataan muilla keinoilla. Tällaiset päätökset ovat usean tekijän summa. Tiistain korjaustiedostotiedotettani varten analysoin jokaisen Microsoftin tietoturvatiedotteen ja punnitsen näitä tekijöitä esittämissäni suosituksissa. Käsittelen tässä artikkelissa joitain keskeisimpiä tekijöitä.

*

 

Hyökkäyspinta-alan pienentäminen kannattaa Voit pienentää järjestelmän hyökkäyspinta-alaa, jos poistat käytöstä tarpeettomia palveluja ja ominaisuuksia ja poistat tarpeettomien komponenttien asennuksen. Tämä vähentää hyökkäysuhan alaisten pisteiden määrää. Hyökkäyspinnan pienentäminen eli ASR (Attack surface reduction) suojaa järjestelmää automaattisesti myös käytöstä poistamiesi komponenttien ja ominaisuuksien vielä havaitsemattomien haavoittuvuuksien aiheuttamilta uhkilta. Onko korjaustiedostojen lataaminen edes tarpeellista? Toiset vastaisivat kysymykseen ”kyllä” pelätessään, että komponentit otetaan uudestaan käyttöön joko vahingossa tai paikallisen järjestelmänvalvojan toimesta. Mutta jopa ympäristöissä, joiden suojaustasona on "paranoid", ASR:llä saavutettu automaattinen suoja vähintään vähentää kiirettä asentaa korjaustiedosto järjestelmään ilman huolellista testaamista. Parhaimmillaan ASR tekee tarpeettomaksi joidenkin korjaustiedostojen lataamisen useisiin järjestelmiin.

Älä kohtele palvelimia työasemien tapaan Työasemat ovat likaisia koneita. Eivät siksi, etteivät ne ole tietokonehuoneen suodatetussa ympäristössä, vaan siksi, että niiden käyttäjät ovat jatkuvasti tekemisissä Internetin turvattoman sisällön kanssa, vierailevat kaikenlaisilla sivustoilla, availevat rutiininomaisesti asiakirjoja ja lataavat muita tiedostoja epäluotettavista sivustoista. Tämä altistaa työasemat haittaohjelmille ja sisältöön perustuville hyökkäyksille.

Vähintään kahden vuoden ajan suurin osa tietoturvapäivityksistä on liittynyt ”työasema- tai vuorovaikutushaavoittuvuuksien”, kuten tapaan niitä kutsua, torjuntaan. Tarkoitan niitä riskejä, jotka aiheutuvat lähes yksinomaan toimista, joita järjestelmään vuorovaikutteisesti sisäänkirjautuneet loppukäyttäjät suorittavat. Näihin sisältyvät Webin selaaminen, sähköpostien lukeminen ja asiakirjojen, kuvien ja videotiedostojen avaaminen. Erityisesti nämä toiminnot altistavat järjestelmän haittaohjelmille ja sisältöön perustuville hyökkäyksille (esimerkiksi Web-sivuun piilotettu sivustojenvälinen komentosarjahyökkäys). Useimpiin näistä haavoittuvuuksista ei löydy toimivaa ratkaisua, vaan ne edellyttävät korjaustiedoston asentamista kaikkiin työasemiin.

Korjaustiedostoja ei välttämättä tarvitse asentaa palvelimiin, mikäli voit olla varma, että järjestelmänvalvojat pidättäytyvät yllä mainituista toiminnoista ollessaan kirjautuneina palvelimeen vuorovaikutteisesti tai päätepalveluiden kautta. Miten voit varmistua asiasta muuten kuin kirjallisella vakuutuksella ja muistutuksilla? Estä ensimmäisenä, mikäli mahdollista, Internetiin pääsy palvelimelta. Toiseksi varmista säännöllisesti ohjelmistoinventaarion avulla, ettei vuorovaikutteisia loppukäyttäjäsovelluksia, kuten MS Officea, ole asennettu palvelimelle. Jotkut organisaatiot menevät vielä pidemmälle ja käyttävät suojauslokia valvoakseen, mitä suoritettavia tiedostoja palvelimella ajetaan. Sivulla www.ultimatewindowssecurity.com/events/com215.html on kuvaus ID 592 -tapahtumasta, joka tiedottaa uusista prosesseista niiden käynnistyessä.

Haavoittuvuudet eivät aina välttämättä liity pelkästään työasemiin. Joidenkin palvelinsovellusten, kuten WSUS:n tai virustorjuntapalvelimien, on ladattava päivityksensä Internetistä. Mutta jos sinulla on valvottu Internet-yhdyskäytävä kuten ISA-palvelin, voit hallita kuvatunkaltaista käyttöä ja auttaa estämään vuorovaikutteisia käyttäjiä selaamasta muita sivustoja. Samoin jotkut palvelimet tarvitsevat tyypillisesti loppukäyttäjäsovelluksiksi luokiteltuja sovelluksia tukemaan räätälöityjä prosesseja, jotka käyttävät OLE-automaatiota. Joudut yleensä myös asentamaan korjaustiedostot päätepalvelupalvelimiin, jotka ovat työasema-tyyppisesti loppukäyttäjien käytettävissä, sillä loppukäyttäjät todennäköisesti altistavat toiminnallaan palvelimet samantyyppisille riskeille kuin työasemat.

Vastuullinen tiedottaminen Infosec ja Microsoft ovat korostaneet haavoittuvaisuuksien julkistamisen ja korjaustiedostojen tärkeyttä ja hyödyllisyyttä käyttäjäyhteisölle. Vastuullisen tiedottamisen perusajatuksena on, että ennen kuin löytyneestä haavoittuvuudesta tiedotetaan yleisölle, toimittajille tulisi antaa kohtuullisesti aikaa ja mahdollisuus korjaustiedoston tai ratkaisun toimittamiseen. Siten asiakkaiden ei tarvitse huolehtia haavoittuvuudesta, ennen kuin korjaustiedosto on saatavilla. Valitettavasti haavoittuvuuksia löytävät joskus pahantahtoiset yksilöt tai sellaiset, jotka eivät suostu vastuulliseen tiedottamiseen. Näissä tapauksissa haavoittuvuus ja sen hyödyntämismahdollisuudet tulevat julki varoittamatta.

Ota huomioon arvioidessasi haavoittuvuutta ja korjaustiedoston asennuksen kiireellisyyttä, ovatko sen hyödyntämisyksityiskohdat (proof-of-concept-koodi) jo julkistettu vai ei. Jos proof-of-concept-koodi on julkisesti saatavilla, hyökkäysyritykset haavoittuvuutta hyväksikäyttämällä ovat todennäköisempiä. Tällöin kannattaa kiirehtiä korjaustiedoston asentamista altistuneisiin järjestelmiin. Päätöksissä on syytä huomioida, hyödynnetäänkö haavoittuvuutta aktiivisesti pahantahtoisissa hyökkäyksissä tai onko tiedossa haittaohjelmia, jotka käyttävät haavoittuvuutta. Tällainen tieto saattaa jälleen lisätä kiireellisyyttä ja vähentää testaamista.

Kun päätetään, ladataanko korjaustiedostot ja mihin järjestelmiin ne asennetaan, on syytä huomioida niin tässä artikkelissa käsitellyt ongelmat kuin tietyt organisaatioon liittyvät tekijät ja sen johdon kanta riskiin. Aina kysymys ei ole siitä, ladataanko korjaustiedosto vai ei, vaan koska se ladataan. Jos haavoittuvuuden hyödyntämiskeinoja ei ole julkistettu, on enemmän aikaa testata korjaustiedostoa ja varmistaa, ettei siitä aiheudu ongelmia. Mikäli kuitenkin on jo tiedossa, että nopeasti leviävä mato hyödyntää haavoittuvuutta, joudutaan korjaustiedosto ehkä asentamaan kriittisiin ja altistuneisiin järjestelmiin ilman testausta. Korjaustiedostojen hallinnassa on kyse tarvittavien korjaustiedostojen lataamisesta järjestelmiin, jotka tarvitsevat niitä, mahdollisimman pian ja tuotantoympäristöä häiritsemättä.

Lue alkuperäinen, englanninkielinen artikkeli >>

 

• Microsoftin tietoturvatiedotteiden suomenkieliset koosteet

• Microsoft Security MVP Article of the Month - Column Archive US


YlösYlös