Patch Management: מה זה ניהול עדכון מידע?

אבטחה היא לא בין הדברים הראשונים שעליהם חושבים בהקמת אתר. לרוב, יש למקימי האתר מטרות שונות בהקמתו, ובאופן טבעי מתמקדים בהן. איומי האבטחה לא בהכרח נשמעים כדבר דחוף או משמעותי, ופעמים רבות פשוט לא מודעים להיקפם. במקביל, הוצאה על אבטחה עשויה להיתפס כדבר שלא מייצר כסף ולכן לקבל עדיפות נמוכה בתקצוב. ובכל זאת - חשוב מאוד שהאתר שתקימו יהיה מאובטח היטב. כיצד עושים זאת? ומדוע זה חשוב?

Patch Management הוא מונח המדבר על ניהול עדכוני תוכנה ומידע בארגון, בין שמדובר בעדכוני אבטחה או בעדכונים מכל סוג אחר. הוצאת עדכוני תוכנה (או מה שאנחנו מכירים כ-patch) היא פעולה שגרתית מאוד, ובמשך השימוש שלכם בכל תוכנה אתם תיתקלו בלא מעט כאלו. במאמר שלפניכם תוכלו לקרוא על היתרונות של ניהול העדכונים וגם מי יכול לעשות זאת בשבילכם אם אתם מעוניינים בשירותי מיקור חוץ. בואו נתחיל.

ניהול עדכונים ומידע

עדכוני אבטחה הם סוג עדכונים קריטי במיוחד, אך הם לרוב חלק מעדכון כללי של המערכת, אשר משפר אותה מבחינות נוספות. בפועל, המונח ניהול עדכונים מדבר על עדכוני מערכות מכל הסוגים – עדכוני אבטחה, עדכונים אחרים ועדכונים משולבים. חשוב כמובן לבדוק באופן קבוע אם יצאו עדכונים ולהתקין אותם בהקדם, כדי לנצל את היתרונות שלהם ולחפות על נקודות תורפה שהם אמורים לפתור (זוהי אחת הסיבות הנפוצות להוצאת עדכונים). די בפרצה אחת שדרכה התוקפים נכנסים כדי להדביק את כל המערכת, ודי בהתקפה מוצלחת אחת כדי ליצור נזק רב במערכת כולה. במרבית המקרים אפשר למנוע מצבים כאלה מראש על ידי הפעולה הפשוטה של התקנת העדכון המתאים.

לשם כך משתמשים בפתרונות עזר ייעודיים למטרה זו ובאוטומציה. האוטומציה מצמצמת טעויות אנוש ומאפשרת לפעול בצורה המהירה ביותר. הפתרונות סורקים את המערכות כדי לזהות אילו תוכנות מותקנות ואם יש להן עדכונים זמינים שאפשר להתקין. ככל שיש מערכות רגישות יותר וקריטיות לפעולת העסק וגם ככל שיש יותר מערכות בעסק, כך עולה החשיבות של שמירה על כל המערכת מעודכנת ככל האפשר. כיוון שמדובר בתחום ותיק למדי בשלב זה, יש עבורו גם לא מעט שיטות פעולה מומלצות ומוכרות היטב, כך שאין צורך להמציא את הגלגל מחדש ואפשר בהחלט לנהל נושא זה באופן יעיל ביותר.

יתרונות

עדכון מערכות הוא פעולה שכל ארגון מקצועי מבצע באופן יזום ושיטתי, והוא כדאי להם מאוד. הינה כמה יתרונות שיסייעו להמחיש ולחדד נקודה זו:

• עדכונים המספקים פתרון לבאגים – אנחנו בטוחים שמדי פעם נתקלתם בבאגים במערכת, שיצרו במקרה הטוב חוסר נוחות זמנית ובמקרה הטוב פחות הפרעה של ממש בתפקוד השוטף של הפעילות בעסק. מפתחי התוכנה או המערכת מוציאים עדכונים שוטפים כדי לטפל עד כמה שאפשר בכל הבאגים המדווחים להם, וחשוב לבדוק את זמינותם ולהתקין אותם מייד כדי לפתור את כל התקלות
• עדכונים המוסיפים יכולות חדשות – מסייעים לקבל ערך עסקי רב יותר מהתוכנות והמערכות שכבר רכשתם
• עדכונים המוסיפים שיפורים לממשק המשתמש – הקשר בין ממשק משתמש, שימושיות המערכות והפרודוקטיביות של העובדים ידוע ומוכר היטב לעסקים. עדכונים כאלו יכולים לסייע מעט בכל פעם, אך להשפיע באופן ניכר לאורך זמן ובכל הארגון או העסק

גורמי השפעה על ניהול עדכוני תוכנה

לנושא הניהול של עדכוני התוכנה יש כמה היבטים וחשובים:

ציות ודיווח

העדכונים המסודרים מסייעים לעמוד בדרישות של תקנות שונות במדיניות הפנימית של הארגון או לפי דרישות חיצוניות, למשל PCI. כמו כן, כלי העזר המנהלים את העדכונים שלכם מסייעים לכם גם לדעת בכל זמן נתון איזו גרסה של כל תוכנה או מערכת מותקנת אצלכם.

עדכוני אפליקציות

כלי העזר יוכלו לעדכן לא רק תוכנות רגילות, אלא גם אפליקציות להתקנים ניידים וגם אפליקציות צד שלישי.

בחינת פגיעוּת ואיומים

כל מערכת ממוחשבת עשויה להיות פגיעה לתקיפה ולפריצה, ובכל מערכת ותוכנה מתגלות לא פעם כל מיני נקודות תורפה שצריך לפתור. האיום הפוטנציאלי וחומרתו תלויים בשאלה אם כבר פותחה שיטת תקיפה המנצלת לרעה את הפרצה שנמצאה. אם יש שיטת פגיעה ועדיין אין תיקון לפרצה, זהו מצב מסוכן המכונה zero-day vulnerability ושיטת התקיפה נקראת zero-day exploit.

יש עוד כמה היבטים חשובים לניהול עדכוני המערכת והתוכנות שלכם:

• סדר העדכונים – יש עדכונים קריטיים יותר ופחות לפי צורכי הארגון ושיטת העבודה שלו. כל עדכון משפיע על המערכת המעודכנת, ויש מקרים שבהם בעדכון עצמו יש באגים, המובילים לשיבוש של הפעילות. תהליך העדכון עשוי להיות כרוך בהשבתה זמנית של המערכת, ולכן יש חשיבות להחלטה מה לעדכן ומתי
• לעדכן באופן חלק – כאשר עדכון גורם לשיבושים, תידרש החזרה של המערכת למצב שלפני העדכון, ויש להיערך לכך מראש. כדי לצמצם שיבושים כאלו, אפשר לבדוק עדכונים ומערכות המושפעות מהם לפני שילוב העדכון בסביבת הפרודקשן. בכל הנוגע לגיבויים של מערכות מראש, הנושא קל למימוש כיום יותר מאי פעם הודות לזמינות שירותי גיבוי בענן במחירים נוחים מאוד
• אוסף התוכנות המתאים ביותר – במבט על, ייתכן שתחליטו שאפשר לצמצם את היקף התוכנות באופן שגם יוביל לצמצום הצורך בעיסוק בעדכונים. באופן דומה, ייתכן שתבחרו לבחור להחליף תוכנה אחת בתוכנה אחרת, אשר נחשבת לבטוחה יותר וכזו הדורשת כמות קטנה יותר של עדכונים שוטפים
• היבטים כספיים – עדכון תוכנה יכול להיות השקעה שלא רואים ממנה בהכרח רווח כספי או חיסכון כספי ברור. אך היחס בין המשאבים (כספיים ואחרים) הנדרשים למניעת נזק למשאבים העשויים להידרש במקרה של פגיעה מראה שעדכון תוכנות שיטתי הוא משתלם מאוד. ההיבט הכספי כאן רחב למדי והוא מתבטא גם בשיקולים כספיים לגבי עדכון מערכות ידני לעומת עדכון אוטומטי (כולל עלות כלי העזר לכך), בהפסדים עקב השבתת מערכות לצורך עדכון או בגלל תקיפה שהתאפשרה עקב חוסר התקנה של עדכונים חשובים

ניהול עדכני במיקור חוץ

שירותי מיקור חוץ לניהול העדכונים בארגון שלכם הם אפשרות קיימת, המסוגלת לספק לכל לקוח את השקט הנפשי והידע הטכני הנדרש מבלי להשקיע בו באופן פנימי (למשל על ידי הכשרת צוות מומחה בתחום). זה יכול להיות ספק שעושה זאת כחלק משירות ספציפי כגון שירות ניהול שרתים או ספק המציע שירות כללי של עדכוני תוכנה. אגב, שירותי מחשוב ענן מיוחדים בהקשר זה כיוון שהם מתעדכנים מאחורי הקלעים, גם כן על ידי ספק חיצוני (ספק שירותי הענן בעצמו). גם ניהול ועדכון התקני מחשוב שונים מרחוק דומה בחלקו לניהול במיקור חוץ – בצורה זו עובדי הארגון יכולים לדעת שהמכשירים שלהם נשמרים במצב העדכני ביותר, ומנהלי המחשוב של העסק יודעים שהנושא מטופל כראוי ולא נשאר להחלטת העובד.

סיכום

עדכוני תוכנה הם עניין חשוב ביותר ואפילו קריטי לכל עסק, ובייחוד לכאלו המחזיקים בידע רגיש או במערכות רבות ומורכבות. מומלץ לטפל בכך באופן שיטתי ויסודי ככל האפשר, ובאפשרותכם גם לעשות זאת במיקור חוץ כדי שתוכלו לקבל שירות אמין ובטוח שיספק לכם בדיוק את מה שאתם צריכים לפעילות עסקית שוטפת ומאובטחת.