Перейти к основному содержимому

Патчи и управление уязвимостями

ОБЯЗАТЕЛЬНОДЛЯ НОВИЧКОВ
Инженеру Разработчику

Патчи и управление уязвимостями

Patch management — процесс обнаружения, оценки, тестирования и установки исправлений безопасности на ОС, приложения, прошивку и сетевое оборудование. На практике полностью пропатченных систем почти не бывает, а большинство успешных взломов опирается не на редкие 0-day, а на дыры, закрытые годами ранее.

Связь с lifecycle
На этапе проникновения непропатченное ПО — один из главных векторов. См. Жизненный цикл атаки и наборы эксплойтов.

Почему патчи работают

ФактПрактический вывод
Большинство эксплуатаций — старые CVE (иногда 10–15 лет)Code Red, SQL Slammer всё ещё «светятся» на незащищённых хостах
0-day — менее 1 % успешных атак в масштабе интернетафокус на базовой гигиене, а не только на «супер-APT»
Горстка программ даёт львиную долю web/desktop-эксплойтовприоритизируйте браузер, ОС, офис, Java/Flash-надстройки (исторически), RDP/VPN
Самая непропатченная программа ≠ самая опаснаяVisual C++ runtime годами «висел» без патчей, но редко эксплуатировался; риск — у часто используемых поверхностей

Наборы эксплойтов (exploit kits) автоматически проверяют десятки отсутствующих патчей на клиенте. Если дыра есть — drive-by download без участия пользователя. Полностью пропатченный браузер чаще переводит атакующего на социальную инженерию — троян «от IT-службы», что дороже и медленнее.

Что патчить

  1. ОС и hypervisor — ядро, Win32/Linux userland, контейнерный runtime.
  2. Браузер и надстройки — исторически главная точка входа на рабочий стол.
  3. Серверное ПО — веб-сервер, БД, middleware, CI/CD.
  4. Средства защиты — NGFW, AV, SIEM, сканеры; их тоже взламывают первыми.
  5. Прошивка и BIOS — «сложное для обновления ПО в кремнии»; см. Безопасность IoT.

В разработке — зависимости (SCA) и собственный код: см. Secure SDLC.

Процесс patch management

Минимальный цикл для команды:

ШагДействие
ИнвентарьCMDB или хотя бы список «что в prod» с версиями и владельцами
Источникиvendor bulletins, CVE/NVD, CISA KEV
ПриоритетCVSS + факт эксплуатации + exposure (internet-facing?)
SLAкритические — дни, не месяцы; исправление за пару дней выводит организацию в число наиболее защищённых
Верификацияповторный scan; 1–2 % хостов никогда не патчатся — их нужно искать вручную

Патч = публичное объявление
Выпуск исправления раскрывает уязвимость: reverse engineers разбирают diff за часы. Окно между Patch Tuesday и массовой эксплуатацией — дни. Критические патчи нельзя откладывать «до конца квартала».

Некоторые вендоры тихо включают fix в обновление до официального CVE — клиенты получают защиту раньше, чем хакеры успевают написать эксплойт.

Типичные проблемы

ПроблемаПочему возникаетЧто делать
Не видим отсутствующий патчoffline-хосты, BYOD, shadow IT, сегменты за NATagent + network scan; учёт «security tools»
Не можем применитьlegacy Java/Oracle, vendor lock, «сломает биллинг»изоляция, compensating controls, план миграции
Патч не встаёт1–20 % парка на «трудных» машинахотдельный runbook, ручной разбор, quarantine
Патч ломает prodстрах после одного инцидентаstaging, canary, 3–5 дней на non-critical; для critical — риск простоя ниже риска взлома
Отключили автообновление«мешает работать»политика: авто для ОС/браузера; change window для серверов

Кейс Java: десятилетиями самая взламываемая платформа, но предприятия не могли обновлять — приложения были привязаны к конкретной версии. Урок: архитектурная зависимость от не обновляемого стека дороже, чем миграция.

Приоритизация для защитника

  1. Known exploited (CISA KEV, vendor «active exploitation») — вне очереди.
  2. Internet-facing + RCE — следующий приоритет.
  3. Привилегированные системы (AD, backup, SIEM, jump host).
  4. Массовый desktop — браузер, ОС, офис.
  5. Остальное — по CVSS и exposure.

Не тратьте месяцы на «самую непропатченную» библиотеку в углу, если браузер и VPN открыты в интернет.

Чек-лист

Организация

  • Есть владелец patch process и SLA на critical (например, ≤ 5 рабочих дней).
  • Инвентарь покрывает серверы, рабочие станции, сетевое железо, security appliances.
  • Подписка на bulletins ключевых вендоров + еженедельный triage CVE.
  • После Patch Tuesday / emergency release — окно развёртывания в течение недели.

Техника

  • Автообновления включены там, где допустимо (браузер, ОС desktop).
  • Staging или canary для серверных патчей.
  • Повторный scan подтверждает compliance; «хвост» 1–2 % не игнорируется.
  • Прошивка роутеров, IPMI, BMC, storage — в том же цикле, что и ОС.

Разработка

  • SCA в CI; critical CVE в dependencies блокируют merge или релиз.
  • Регистр уязвимостей с владельцем и сроком — см. 1132.

Источники

См. также

Другие статьи этого же раздела в боковом меню (как на странице "О разделе").

Ещё 21 статей в разделе

Освоение главы0%