アップデートと地獄への道

今は完璧なアップデートの嵐です。 一見無限のオペレーティングシステム（OS）アップデートのストリームに加えて、アプリケーションのアップデートがあり、ハードウェアのアップデートもあります。 私たちは皆、Microsoft Windowsへのパッチの毎月のリリースに慣れており、毎月パッチ火曜日を予想しています。 しかし、今はもっとあります。

セキュリティ研究者は、Intelプロセッサ内の独自の小さなOSに常駐するIntelの管理エンジンの問題を発見しました。 その後、研究者は、プロセッサーがプログラムの実行を計画する方法に重大な問題を発見し、SpecterおよびMeltdownというラベルの脆弱性につながりました。 メルトダウンはプロセッサーキャッシングのセキュリティ境界に影響を与えますが、Specterは投機的実行に関与し、インテル製プロセッサーだけでなくすべてのプロセッサーに影響します。 （詳細な説明については、トム・ブラントの「デバイスをメルトダウンから保護する方法」、「スペクターバグ」コラムを参照してください。）

そのため、WindowsとLinuxへの通常の更新とMacOSへの頻度の低い更新に加えて、それらをサポートするプロセッサへの更新が行われています。 2017年の秋に、IntelはManagement Engineの更新をPCメーカーに提供し、PCメーカーはファームウェアパッチを発行しました。 その後、ファームウェアとプロセッサーのマイクロコードにパッチを当てて、IntelプロセッサーのMeltdownを修正し、ほぼすべてのプロセッサーである程度Specterを修正しました。

SpectreパッチとMeltdownパッチもOSソフトウェアに表示されるため、1月3日に重要なWindows Updateが発行され、通常の火曜日のパッチシーケンスとは異なります。 そして、もちろん、火曜日には定期的なパッチがまだありました。

更新するかしないか

突然、多くの更新が飛び交っています。 それらが現れるのと同じくらい早くそれらを適用しますか？ 答えは、おそらくそうではありません。 Intelは、パッチが適用されると再起動を開始した古いプロセッサの問題にすでに対処しています。 現在、いくつかの産業用制御システムがパッチの結果として誤動作しているという報告があります。

明らかに、パッチが現れたらそれを単純に適用することをよく考えてください。 しかし、そうしなければ結果についても心配する必要があります。 決定方法

更新を実行しないことを選択した場合の結果は既知です。 最終的に、パッチが当てられていない脆弱性により、システムが多くのエクスプロイトの1つにさらされ、データ損失とそれに続くすべての悪いことが引き起こされます。 しかし、パッチを適用することから生じる結果もあります。 Intelの修正に関連する問題に加えて、OSの更新が問題を引き起こす場合があります。 それらを考慮する必要があります。

たとえば、Windowsにパッチを適用した後、ローカルで作成されたアプリや一部のカスタムアプリが正しく動作しない可能性があります。 これは最近非常にまれですが、可能性があります。 このようなアプリがある場合は、すべてのシステムに適用する前にアップデートをテストする必要があります。

多くのコンピューターシステムがWindows 7からWindows 10に更新された場合など、更新が主要なものである場合、問題が発生する可能性が高くなります。その後、商用ソフトウェアが移行を処理する必要があるという事実にもかかわらず、変更を加えてテストすることが重要ですすべての方法に進む前にいくつかのコンピューター。

通常の状況では、オフィスアプリを実行しているオフィスコンピューターを扱っている場合、それを使用する人の作業負荷が許す限りすぐに更新を行わない理由はほとんどありません。 更新によるリスクはほとんどありません。また、ユーザーがすべきでないことをすることによるリスクは非常に高くなります。

サーバーに関する特別な考慮事項

サーバーとして使用されるコンピューターは別の問題です。 そこでは、ユーザーからのリスクはいくぶん低くなりますが、問題のある更新から生じるリスクは高くなります。 また、サーバーがビジネスに不可欠な場合、ダウンタイムのコストがかかります。 このような場合、更新プログラムを適用するプロセスを慎重に検討する必要があります。

おそらく、サーバーを更新する最良の方法は、スペアから始めて1つずつ行うことです。 予備サーバーを更新してテストします。 正常に実行されていると確信したら、サーバーを更新されたサーバーと交換します。 更新プログラムがネットワークの他の部分とうまく機能しない場合に備えて、しばらくの間古いものを使用して、更新します。 所有しているサーバーの数に応じて、これを一度に1つずつ実行することも、パッチ管理ソフトウェアを使用して自動化することもできます。

重要なのは、更新を永遠に延期しないことです。 2017年以前に成功したデータ侵害の多くは、ハッカーが数か月または数年間利用可能な更新プログラムとパッチが適用されていないパッチ未適用の脆弱性に依存するエクスプロイトを使用したために起こりました。 インテリジェンスコミュニティによって開発されたエクスプロイトがすぐに利用できるようになったため、リークが発生したため、パッチを適用しないリスクがさらに大きくなります。

意思決定を分割すると、簡単になります。 まず、パッチを適用するリスクが低く、パッチを適用しないリスクが最も高いシステムにすぐにパッチを適用します。これには、オフィスマシンや公共のコンピューターが含まれます。 次に、夜間にオフラインにできるサーバーなど、短時間のダウンタイムを許容できるシステムにパッチと更新を適用します。

最後に、テストする時間が多く、ダウンタイムが最小限に抑えられている残りのシステムへのパッチと交換のアプローチを検討してください。 繰り返しますが、システムをネットワーク上で適切に動作させるために、スワップアウトする時間を与えます。

しかし、何をするにしても、重要なパッチの適用に失敗しないでください。 要件に合わせて作業をスケジュールしますが、単に先送りしないでください。 あなたは、攻撃のためにトップページをヒットする次の会社になりたくありません。