Патчи и управление уязвимостями
Патчи и управление уязвимостями
Patch management — процесс обнаружения, оценки, тестирования и установки исправлений безопасности на ОС, приложения, прошивку и сетевое оборудование. На практике полностью пропатченных систем почти не бывает, а большинство успешных взломов опирается не на редкие 0-day, а на дыры, закрытые годами ранее.
На этапе проникновения непропатченное ПО — один из главных векторов. См. Жизненный цикл атаки и наборы эксплойтов.
Почему патчи работают
| Факт | Практический вывод |
|---|---|
| Большинство эксплуатаций — старые CVE (иногда 10–15 лет) | Code Red, SQL Slammer всё ещё "светятся" на незащищённых хостах |
| 0-day — менее 1 % успешных атак в масштабе интернета | фокус на базовой гигиене, а не только на "супер-APT" |
| Горстка программ даёт львиную долю web/desktop-эксплойтов | приоритизируйте браузер, ОС, офис, Java/Flash-надстройки (исторически), RDP/VPN |
| Самая непропатченная программа ≠ самая опасная | Visual C++ runtime годами "висел" без патчей, но редко эксплуатировался; риск — у часто используемых поверхностей |
Наборы эксплойтов (exploit kits) автоматически проверяют десятки отсутствующих патчей на клиенте. Если дыра есть — drive-by download без участия пользователя. Полностью пропатченный браузер чаще переводит атакующего на социальную инженерию — троян "от IT-службы", что дороже и медленнее.
Что патчить
- ОС и hypervisor — ядро, Win32/Linux userland, контейнерный runtime.
- Браузер и надстройки — исторически главная точка входа на рабочий стол.
- Серверное ПО — веб-сервер, БД, middleware, CI/CD.
- Средства защиты — NGFW, AV, SIEM, сканеры; их тоже взламывают первыми.
- Прошивка и BIOS — "сложное для обновления ПО в кремнии"; см. Безопасность IoT.
В разработке — зависимости (SCA) и собственный код: см. Secure SDLC.
Процесс patch management
Минимальный цикл для команды:
| Шаг | Действие |
|---|---|
| Инвентарь | CMDB или хотя бы список "что в prod" с версиями и владельцами |
| Источники | vendor bulletins, CVE/NVD, CISA KEV |
| Приоритет | CVSS + факт эксплуатации + exposure (internet-facing?) |
| SLA | критические — дни, не месяцы; исправление за пару дней выводит организацию в число наиболее защищённых |
| Верификация | повторный scan; 1–2 % хостов никогда не патчатся — их нужно искать вручную |
Выпуск исправления раскрывает уязвимость: reverse engineers разбирают diff за часы. Окно между Patch Tuesday и массовой эксплуатацией — дни. Критические патчи нельзя откладывать "до конца квартала".
Некоторые вендоры тихо включают fix в обновление до официального CVE — клиенты получают защиту раньше, чем хакеры успевают написать эксплойт.
Типичные проблемы
| Проблема | Почему возникает | Что делать |
|---|---|---|
| Не видим отсутствующий патч | offline-хосты, BYOD, shadow IT, сегменты за NAT | agent + network scan; учёт "security tools" |
| Не можем применить | legacy Java/Oracle, vendor lock, "сломает биллинг" | изоляция, compensating controls, план миграции |
| Патч не встаёт | 1–20 % парка на "трудных" машинах | отдельный runbook, ручной разбор, quarantine |
| Патч ломает prod | страх после одного инцидента | staging, canary, 3–5 дней на non-critical; для critical — риск простоя ниже риска взлома |
| Отключили автообновление | "мешает работать" | политика: авто для ОС/браузера; change window для серверов |
Кейс Java: десятилетиями самая взламываемая платформа, но предприятия не могли обновлять — приложения были привязаны к конкретной версии. Урок: архитектурная зависимость от не обновляемого стека дороже, чем миграция.
Приоритизация для защитника
- Known exploited (CISA KEV, vendor "active exploitation") — вне очереди.
- Internet-facing + RCE — следующий приоритет.
- Привилегированные системы (AD, backup, SIEM, jump host).
- Массовый desktop — браузер, ОС, офис.
- Остальное — по CVSS и exposure.
Не тратьте месяцы на "самую непропатченную" библиотеку в углу, если браузер и VPN открыты в интернет.
Чек-лист
Организация
- Есть владелец patch process и SLA на critical (например, ≤ 5 рабочих дней).
- Инвентарь покрывает серверы, рабочие станции, сетевое железо, security appliances.
- Подписка на bulletins ключевых вендоров + еженедельный triage CVE.
- После Patch Tuesday / emergency release — окно развёртывания в течение недели.
Техника
- Автообновления включены там, где допустимо (браузер, ОС desktop).
- Staging или canary для серверных патчей.
- Повторный scan подтверждает compliance; "хвост" 1–2 % не игнорируется.
- Прошивка роутеров, IPMI, BMC, storage — в том же цикле, что и ОС.
Разработка
- SCA в CI; critical CVE в dependencies блокируют merge или релиз.
- Регистр уязвимостей с владельцем и сроком — см. Безопасность на ранних этапах разработки.
Источники
- CISA Known Exploited Vulnerabilities.
- NVD / CVE — идентификаторы и метрики.
- Жизненный цикл атаки — вектор "непропатченное ПО".
- Secure SDLC — уязвимости на этапе разработки.