Kaido Järvemets selgitab

Turvauuendused – sama elementaarne, nagu kätepesu

Turvauuendusi peavad kõik tegema, see on sama elementaarne, nagu igapäevane hügieen ja kätepesu. Kui keerad oma arvutis selle kinni, siis oled haavatav väga paljude erinevate ohtude suhtes. Juhtuda võib kõike alates spämmiga saabuvast pahavarast või tarkvara turvaaukude kaudu sisse pugenud nuhkidest. Turvauuendusi saab ettevõttes teha mõistlikult ja nii, et vajalikud värskendused oleks alati õigel ajal olemas. Lootma ei pea vaid kasutajate endi teadlikkusele või sellele, et administraator ühel hetkel käib kõik seadmed üle.

Windows on väga suure turuosaga, turvauuendustest rääkides mõeldakse tavaliselt Windowsi ja selle programmide uuendamisest. Meeles peab aga pidama ka riistvaralist kihti: BIOS-i uuendused arvutis, ekraanides, dokkides ja igasuguste lisaseadmete firmware ehk püsivara värskendused on samuti väga olulised. Riistvarakihtides leitakse aina enam kriitilisi turvaauke, mida kasutajad turvauuendustega ei kõrvalda. On olnud ka Inteli protsessorite turvanõrkusi, viimasel ajal lausa üsna mitmeid. Seega riistvarakiht peab olema sama hästi kaitstud, kui operatsioonisüsteem ja programmid.

Kuidas seadmete tarkvara uuendada?

Seadmete BIOS-i ja Firmware ehk püsivara uuendamiseks kasutatakse tootja enda uuendamise utiliite, mis automaatselt kontrollib ja siis annab kasutajale teada draiverite ja BIOSi uuenduse vajadusest. Ettevõtetes võiks neid uuendusi keskselt hallata, selleks leiduvad omad meetodid ja töövahendid.

Näiteks kui kontorisse võetakse uus masin, uuendatakse kõigepealt kindlasti ka selle riistvaraline kiht, lisatakse operatsioonisüsteem, paigaldatakse uusimad draiverid jne. Paljudel juhtudel jääb aga see osaliselt tegemata, kui uuendatakse vaid operatsioonisüsteemi.

Mõni uueneb ise, mõni käsitsi

Windows 10 puhul pakutakse 1-2 korda aastas uuele versioonile üleminekut. See on suurem uuendus, mille peaks paigaldama, et uuem funktsionaalsus ja turvalisus oleks tagatud. Vahepeal aga toimuvad turvauuendused ja väiksemad värskendused, mida saab lubada automaatselt, kasutajat häirimata.

Seega peaks uuendused toimuma nii riistvara osas, operatsioonisüsteemi (Windowsi) osas, draiverites, kuid lisaks ka mitte-Microsofti tarkvaraga samamoodi. Eraldi ülevaatamist ja uuendamist võib vajada spetsiaaltarkvara ja teiste tootjate tarkvara, nagu näiteks 7Zip, VLC pleier, Google Chrome – mõned küll uuenevad automaatselt, mõned peab ise uuendama.

Oluline on panna paika, kuidas me uuendusi haldame. Uuenduste paigaldamise protsess tuleb läbi mõelda ja tehnilised detailid paika panna. Tavaliselt tehakse tüüpviga ning keskendutakse vaid Windowsi uuendustele, aga kolmandate osapoolte tarkvara ei uuendata. Nii võivad tekkida ikkagi ohtlikud turvaaugud, mille kaudu ettevõtet rünnatakse.

Azure Update Managementi tööpõhimõte.

Turvauuenduste puhul on oluline, et kui ettevõttes kasutatakse tuhatkonda erinevat seadet, siis peab teadma, tihti ja kui kiirelt neid uuendusi paigaldatakse. Kui Microsofti uuendused tulevad välja iga kuu teisel teisipäeval, siis mida me nendega teeme? Näiteks peaks teada olema, kui suur on pilootgrupp, kellele uuendused kohe installitakse ja kelle puhul saab esimesena teada, kas uuendus töötab korralikult. Mingeid uuendusi on vahest ka tagasi kutsutud, näiteks oli sel kuul Windowsi uuendusega printeriprobleem, mille puhul printides arvuti kokku jooksis. Sellised uuendused tuleb taas ajutiselt tagasi võtta ja oodata uut kumulatiivset värskendust.

Järgmisena peab olema paika pandud teistesse seadmetesse tarkvarauuenduste paigaldamise kord ja see, millist tulemust me soovime saada. Mis on näiteks miinimumprotsent, mille puhul saame öelda, et turvauuendus on õnnestunud? Näiteks kui 90-93% seadmetest on uuendatud – see tähendab, et kõik uuendamist vajavad seadmed on saanud värskenduse. Tavaliselt pole suuremates ettevõtetes võimalik 100% uuendada, sest leidub ka vanu seadmeid, kasutamata seadmeid ja eriseadmeid, mida võib-olla võrgus ei kasutata, kuid mis peavad jooksutama mingit ärile olulist vana tarkvara.

Mida teha aga siis, kui saabub ülikriitiline uuendus, nagu näiteks oli hiljuti Exchange´i turvaohu nullpäeval? Siis pole ilmselt aega enam graafikujärgse uuenduseni oodata.

Haldusaknad ja hooldusajad paika

Kui räägime äriteenuste uuendusest, siis tuleb kokku leppida haldusaknad või hooldusajad. Näiteks kasutajad teavad, et neil on neljapäeval kell 1-3 teenuste uuendus ja sel ajal võib olla probleeme nende kättesaadavusega. Suuremates firmades on äriteenuseid palju, nendega pole mõistlik iga kord eraldi küsida kasutajatelt, mis ajal saab neid uuendada. Kui haldus- ja hooldusajad on kokku lepitud, saab sujuvamalt uuendusi teha.

Turvauuenduste mittetegemine pole okei. Seega võiks paigaldamine olla võimalikult palju automatiseeritud, et see ei sõltuks inimeste meelespidamisest ja tahtest. Kui äriteenuste puhul tuleb mõni protsess enne uuendust kinni panna, siis tuleks see tegevus automatiseerida, et administraator ei peaks hooldusajaks öösel üles ärkama.

Mingitel juhtudel peab muidugi ka administraatorit öösel rakendama, aga need olgu pigem erandjuhud. Enamasti saab kõiki turvauuendusi automatiseerida. Kui vähegi võimalik, siis käsitsi uuendamine võiks lausa keelatud olla. Halvad külalised on võrgus kiiresti kohal, kui käsitsi uuendamine unustatakse või ei saa seda õigel ajal teha.

Arvestada võiks uuendamisel ka kasutajakogemusega. Kasutajaid võiks uuendused võimalikult vähe häirida. Näiteks võiks mitte väga kriitiliste uuenduste puhuks anda inimestele valikuvõimaluse ehk tähtaja, mille jooksul nad ise valivad uuenduse tegemise jaoks sobiva aja. Siis segab see vähem tööd. Kui aga ettenähtud aja jooksul uuendust pole tehtud, tehakse see lõpuks automaatselt.

Vanad õunad – mida teha legacy tarkvaraga?

Nagu mainitud, ei saa suuremas ettevõttes alati 100% masinatest uuendada. Osa teenuseid on vanad ja neid ei saagi enam värskendada – mõnedel pole enam tootjatki, kes uuendusi välja annaks, aga nende vanade lahendustega tuleb ka tegeleda. N-ö vanad õunad võivad ühel hetkel töö lõpetada, see võib juhtuda väga kiiresti ja ootamatult. Mis siis saab, kui see lahendus on veel ärikriitiline?

Olukord on ettevõtete jaoks kindlasti keeruline selliste vanade ehk legacy lahendustega, kuid üks põhimõte enamasti aitab. Probleemidel ei tohi lasta kuhjuda ja võimalusel peaks vanadest tarkvaradest loobuma. Vastasel juhul võib see lõpuks takistada ka uuematele tarkvaradele uuenduste tegemist, kuna legacy kood võib siis katki minna. Seda probleemi peab kindlasti juhtkonnaga kommunikeerima, et see ei muutuks äririskiks. Kuigi pealtnäha võib teistele töötajatele tunduda, et kõik töötab ja pole vaja midagi muuta, on vana tarkvara nagu viitsütikuga pomm.

Kui palju on firmas tegelikult seadmeid kasutusel?

Ettevõttes võiksid riistvarast ja tarkvarast ülevaate saamiseks olema kasutusel visualiseeritud vaated, mis seis turvauuendustega hetkel on. Mõõdikud peaks paigas olema, näiteks see, kui palju uuendatud arvuteid on vajalik. Näiteks 90% arvutitest uuendatud võiks olla normaalne, kui ülejäänuid pole mingil põhjusel võimalik uuendada.

Samas võib selle sajast oluliselt madalama uuenduste protsendi taga olla veel üks probleem – unustatud seadmed, mis ikka veel arvel on. Administraator peab jälgima, et seadmete kontosid ei jääks ripakile, kui vana arvutit enam ei kasutada. See tuleb ka süsteemist eemaldada – Active Directoryst, antiviiruse kontolt, seadmehaldusest. Kui seadmete arv on läinud suuremaks, kui tegelik kasutatavate seadmete arv, siis on midagi kahe silma vahele jäänud.

„Unustatud“ arvutite kohta saab tavaliselt teada Heartbeat´i ehk töötamise kontrolliga, mis ütleb, kas seade on keskhalduse jaoks olemas ja kättesaadav. Selle järgi saab vanu seadmeid üles leida ning heartbeat´ile mittevastavaid järk-järgult kõrvaldada.

Mida teha inimeste enda arvutitega?

Ettevõttes oma seadmeid kasutavad töötajad peavad neid paraku ise uuendama. Rt nad seda teeks, tuleb kasutajatega rääkida ja vajadusel ka koolitada. Käskudega või peidetud kujul uuendamistega siin hakkama ei saa. Kasutaja võib sel juhul ise valida näiteks mõne päeva jooksul omale sobiva aja Windowsi uuendamiseks, kui see automaatselt ei toimu.

Turvauuendused tekitavad tavaliselt ettevõttes palju emotsioone. Siin näitavad eeskuju ka juhid. Kui turvauuendus hakkab koosolekul tööle ja juht hakkab seda kiruma, siis on see väga halb eeskuju, sellest võib tekkida ka pahatahtlik jonn IT-osakonna vastu kujul „ära neid uuendusi mulle installi, mul on vaja tööd teha“. Ettevõtte sisemise kultuuri küsimus on panna töötajad mõistma uuenduste vajalikkust ja ettevõtte juhid peaksid siin head eeskuju näitama.

Kui Sul on turvauuenduste kohta küsimusi, võta Lakeforest Consult`iga julgesti ühendust.

Populaarsed lood mujal Geeniuses

Ära jää ilma päeva põnevamatest lugudest

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate olulisematest Geeniuse teemadest.