Co je to patch management a proč je důležitější, než si možná myslíte

Věděli jste, že téměř 60 % všech obětí hackerských útoků přiznalo, že příčinou narušení jejich kybernetické bezpečnosti byl neaktualizovaný software? Pravidelná a důsledná správa aktualizací, tedy patch management, je přitom jedním ze základních způsobů, jak můžete relativně snadno a efektivně zvýšit úroveň vaší kybernetické bezpečnosti. Přečtěte si, jak na to. 

Anglické slůvko „patch“ znamená česky záplatu a ve světě IT jím rozumíme „softwarovou/hardwarovou záplatu“, tedy aktualizaci softwaru nebo update hardwarového firmwaru. Patche vydávají SW vývojáři a HW výrobci, aby byly jejich produkty aktuální, zabezpečené a fungovaly, jak správně mají.

Možná se setkáváte s otravnými výzvami ve Windows vybízející k restartu systému a instalaci aktualizací – podle Murphyho zákonů pochopitelně vždy v ten nejnevhodnější okamžik. Vězte ale, že tyto aktualizace mají v určitých případech zásadní význam pro kybernetickou bezpečnost vašeho operačního systému, i ovladačů a dalších programových prostředků (jako jsou internetové prohlížeče, kancelářské balíky, zkrátka veškerý aplikační a systémový software).

Jak patching přispívá k hladkému chodu vaší IT infrastrukury

Patching, tedy aplikování aktualizací a záplat, neslouží pouze k zajištění kybernetické bezpečnosti, ale celkově k zajištění bezproblémového chodu vaší IT infrastruktury:

• Zajišťuje provozuschopnost systémů – tedy i zajištění souladu různých verzí a buildů, obecně opatření vedoucí k zachování kompatibility, ale i získávání nových softwarových funkcí.
• Splnění legislativních požadavků – sem spadá patching, který zohledňuje změny v legislativě a jejich aplikaci.
• Opravuje funkční chyby – váš SW a HW tedy po provedeném patchingu funguje, jak má.

Jak na efektivní patch management

Celý proces správy aktualizací (patch managementu) byste tedy rozhodně neměli brát na lehkou váhu – a pokud tak ještě nečiníte, pro začátek jej skutečně uchopte jako firemní proces. Tj. nastavte role, zodpovědnosti, vstupy, postupy a výstupy. Jakmile budete dobře rozumět tomu, s čím a jak pracujete, budete mnohem snadněji a efektivněji věnovat pozornost zranitelnostem. 

Zkuste se při tvorbě procesu patch managementu inspirovat těmito kroky:

1. Vytvořte si databázi pokrývající vaší IT infrastrukturu – musí být komplexní a zahrnovat minimálně všechny operační systémy a aplikace, které vaše společnost používá. Nezapomeňte zahrnout i hardware kvůli patchingu firmwaru. Tip: k snadnější tvorbě databáze můžete použít automatizační software.
2. Vytvořte plán standardizace – zkuste udržovat standardizovaný model vašich zařízení. Čím více verzí programových a technických prostředků používáte, tím vyšší jsou vaše provozní a udržovací náklady a tím vyšší jsou i vaše bezpečnostní rizika.
3. Kategorizujte a prioritizujte – provádět všechny opravy a aktualizace na všech zařízeních současně by bylo nesmírně riskantní. Stanovte proto pořadí nasazování aktualizací na základě jejich kritičnosti z bezpečnostních i funkčních hledisek.
4. Testujte patching ve virtuálním prostředí – každá aktualizace nebo patch znamená určité riziko. Pokud máte tu možnost, otestujte aktualizace na virtuálních strojích nebo jiném testovacím prostředí odděleném od vaší hlavní IT infrastruktury.
5. Dokumentujte – po dokončení testovací fáze pověřte váš IT bezpečnostní tým zdokumentováním seznamu oprav a výsledku testování. 
6. Schvalujte – než dojde k pilotní aplikaci patchingu ve vaší IT infrastruktuře, zodpovědní správci či administrátoři by měli schválit nasazení konkrétních oprav a příslušně nakonfigurovat patch management software, aby se zabránilo instalaci nechtěných patchů.
7. Proveďte pilotní patching – jen málo společností zavádí patche opravy všem uživatelům současně. Místo toho se většinou uskuteční pilotní nasazení na vzorku uživatelské základny před provedením celofiremního nasazení, které ověří, zda je patch skutečně bezpečný pro běžné použití.

Důsledným dodržováním procesu patch managementu správy oprav získáte výše uvedené výhody plynoucí z pravidelného patchingu a zároveň minimalizujete případná rizika spojená s jejich nasazením. Vaše systémy budou vzájemně kompatibilní, poskytnou vám nejnovější funkce a budou z velké části bez chyb a slabých míst ohrožujících vaši kybernetickou bezpečnost.