Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 9. december 2005.
Automatiserede systemer gør det lettere at holde styr på de opdateringer, der fjerner sårbarheder i virksomhedens it-systemer.
En enkelt manglende softwareopdatering kan være afgørende for, om en virksomhed bliver offer for en orm eller et hackerangreb. Hvor de store virksomheder typisk har styr på opdateringsprocessen, kniber det derimod i en del mindre virksomheder. Den erfaring har it-virksomheden Netkoncept A/S gjort.
- Problemet findes især i de små virksomheder, hvor man ikke har en dedikeret fuldtidsansat til it-funktionen. Her ligger it-ansvaret tit hos en medarbejder, der må dele sin tid mellem for eksempel økonomifunktionen og it. Så er der ikke altid fokus på behovet for at holde systemerne opdateret med nyeste sikkerhedsopdateringer. De mangler også ressourcer til opgaven, fortæller løsningsarkitekt Bo Kjær Christensen fra Netkoncept.
Netkoncept fungerer blandt andet som driftspartner for it-afdelingen i virksomheder. Når Netkoncept og kunden udarbejder en plan for arbejdet, er det i to ud af tre tilfælde Netkoncept, der bringer spørgsmålet om opdatering på banen.
Softwareopdateringer retter fejl i programmerne. Nogle af fejlene er sårbarheder, som angribere kan udnytte til at få uautoriseret adgang til systemerne eller på anden måde misbruge eller skade dem. De programrettelser, som softwarehusene udsender, kaldes også for patches.
Den 13. april 2004 udsendte Microsoft en programrettelse, der lukkede et sikkerhedshul i Windows. Få uger senere angreb ormen Sasser de pc'er, der ikke havde fået installeret programrettelsen. Eksemplet viser, at opdatering af software kan være med til at forhindre, at ens computere bliver ofre for angreb.
- Virksomhederne skal udarbejde et koncept for opdateringer. Jeg anbefaler, at de bruger et automatisk system til at udrulle nye patches. Det skal de indarbejde i en procedure, hvor de tester nye patches, før de bliver installeret, siger Bo Kjær Christensen.
Hvis virksomheden vælger at opdatere software en gang om måneden, skal den altså teste alle de patches, der er kommet i den forløbne måned. Det er en proces, som mange små virksomheder ikke har ressourcer til.
- Så må de foretage en afvejning af risikoen i forhold til økonomien: Vil de helst bruge nogle timer hver måned på at teste, at en patch ikke giver problemer? Eller vil virksomheden hellere tage chancen og så acceptere det besvær, det giver, hvis en patch viser sig at give problemer?
Nogle virksomheder klarer sig med Windows Update eller den automatiske opdateringsfunktion i Windows XP. Men så ligger ansvaret ude hos den enkelte medarbejder - og når et program spørger, om det skal installere en opdatering, vil de ofte svare nej pr. automatik, fordi de er blevet instrueret i ikke at installere noget på egen hånd. De problemer slipper man udenom, hvis opdateringsprocessen centraliseres.
Bo Kjær Christensen gør opmærksom på, at det kan være billigt at indføre automatisk opdatering af styresystem og en række applikationer: Microsoft tilbyder det gratis værktøj WSUS (Windows Server Update Services), der henter alle nye opdateringer til Windows, en række serverapplikationer og Office-pakken. WSUS kan automatisk sende alle opdateringer ud på pc'er på virksomhedens net, eller den kan kræve en godkendelse for hver enkelt opdatering. WSUS-serverprogrammet kan køre på en eksisterende server, hvis der er kapacitet til det, så den ikke kræver investering i en separat licens.
- WSUS løser problemet, når det gælder Microsoft-produkter. Men for de andre applikationer, som virksomhederne anvender, kan det være sværere at finde en samlet løsning. Problemet findes især ved branchespecifikke specialprogrammer. Her ved man end ikke, om de har nogle sårbarheder. Kunderne er henvist til at stole på de versionsopdateringer, softwareproducenterne udsender, siger han.
Han synes, at virksomhederne gennem de sidste tre år generelt har fået langt mere fokus på problemet med opdateringer.
Boks:
Flere sårbarheder i år
Efter stagnation siden år 2002 stiger mængden af sårbarheder for første gang i år. I de første tre kvartaler har det amerikanske CERT/CC (Computer Emergency Response Team/Coordination Center) registreret 4.268 sårbarheder. Fortsætter udviklingen med samme hast i fjerde kvartal, vil der blive fundet omkring 5.700 sårbarheder i år. Det vil udgøre en stigning på 50 procent i forhold til 2004.
En sårbarhed er en fejl i eller en uhensigtsmæssig opsætning af et it-system. En angriber kan udnytte en sårbarhed til at kompromittere sikkerheden, for eksempel ved at få uautoriseret adgang eller sætte systemet ud af drift. CERT/CC anslår, at omkring 90 procent af alle vellykkede angreb på it-sikkerheden benytter sig af velkendte sårbarheder, som der er udsendt rettelser til.
Kilde: CERT/CC
Råd om opdatering
Netkoncept har disse tre råd om opdatering af software:
• Opbyg en fast procedure for opdatering
• Afsæt tid til opgaven
• Brug et værktøj til at automatisere processen
