תהליך עדכונים ארגוני Patch Management

בתקופה האחרונה נשאלתי המון לגבי העדכונים החודשיים עם שאלות כדוגמת מה מומלץ לבצע בעדכונים? איך נשארים מעודכנים מבלי לעבוד סביב העדכונים בכל חודש? איך למנוע בעיות בגלל עדכונים לא תקינים? ועוד המון שאלות סביב הנושא.

עדכוני Windows למינהם יוצאים אחת לחודש (Microsoft Patch Tuesday) ומדובר על עדכונים אבטחה, עדכונים רגילים, עדכוני Service Pack וכן הלאה. בנוסף לעדכונים אלה מוציאה Microsoft מידי פעם ובמקרים חריגים עדכונים מסוג Zero-Day במהלך אותו חודש.

בשנים האחרונות Microsoft עשתה מספר שינויים בכל הקשור לתהליך בדיקות העדכונים וכן ביצוע עדכונים וניתן לומר שאנו המשתמשים למעשה מבצעים את הבדיקות, באחד המאמרים Microsoft עדכנה שאכן מדובר על שינוי בתהליך.
קישור למאמר Microsoft Admits Normal Windows 10 Users Are ‘Testing’ Unstable Updates

בשנה האחרונה העדכונים של Microsoft אשר יצאו בכל חודש גרמו לבעיות שונות בתחנות קצה ושרתים, בין היתר: בעיות רשת, בעיות באתחול תחנות בכל פרק זמן מסוים, בעיות של BSOD ונוספים. לעיתים בעיות אלה נגרמו בתחנות ללא שום קשר באפליקציה צד שלישי ולעיתים נגרמו בעיות שונות בגלל קונפליקט מול אפליקציה מסוימת.

אם כך מה עושים ואיך ניתן לנהל את העדכונים באופן כזה שמצד אחד נוכל להישאר מוגנים אך מצד שני נוריד את תקורת הניהול והסיכונים בביצוע התקנת העדכונים מול הארגון.

סוגי עדכונים

תחילה עלינו להבין את סוגי העדכונים הקיימים בכדי לדעת מהם העדכונים שאנו חייבים לבצע בתהליך עדכונים שנתי, כלומר בתהליך עדכונים שנתי (בהמשך המאמר) ישנם עדכונים שצריכים להתבצע אחת לחודש, ישנם עדכונים שצריכים להתבצע אחת לרבעון וישנם עדכונים אשר צריכים להתבצע אחת לחצי שנה וכן הלאה.

סוגי העדכונים הקיימים הם עדכונים אשר קיימים למערכות הפעלה של Windows 10 או Windows Server 2016 ומעלה וכן למערכות הפעלה ישנות יותר שעדיין נתמכות, העדכונים הקיימים הם: (לפי סדר חשיבות של עדכוני אבטחה בלבד)

עדכוני אבטחה

עדכוני Zero-Day – עדכוני אבטחה בלבד אשר יוצאים בפרקי זמן מסוימים לעיתים בין עדכוני Pacth Tuesday בכדי לסגור חולשות קריטיות אשר נמצאו במערכת. לרוב מדובר על עדכונים ספציפיים מאוד.

עדכוני Non-deferrable – עדכוני antimalware או antispyware שנעשים בפרקי זמן קצרים

עדכוני Security – (נקרא גם Quality) עדכוני אבטחה שיוצאים אחת לחודש ומטרתם לסגור חולשות וסיכוני אבטחה שונים, בכל עדכון כזה יוצאים עשרות עדכונים אבטחה, גם כאן ישנם עדכונים שהם מדורגים כעדכונים קריטים יותר וכאלה אשר פחות.

עדכוני Critical – עדכונים קריטיים שאינם עדכוני אבטחה ומטרתם לתת מענה לבעיות אשר קשורות למערכת הפעלה או אפליקציה מסוימת של Microsoft.

עדכונים רגילים

בעדכונים רגילים ישנם את החלוקה לסוגי עדכונים של מערכות הפעלה חדשות (Windows 10) וישנות יותר כולל Windows Server 2012.

עדכוני Feature – עדכונים שיוצאים פעמיים בשנה וכוללים עדכונים רגילים, עדכוני אבטחה וכלל העדכונים הקיימים, ולכן מדובר על חבילת עדכונים ענקית.

עדכוני Quality – עדכונים שיוצאים אחת לחודש ומכילים עדוכני אבטחה, עדכונים רגילים ועדכונים נוספים במידה וישנם.

עדכונים נוספים  – ישנם סוגי עדכונים נוספים אשר קיימים למערכות הפעלה שונות:

• עדכוני Definition
• עדכוני Driver
• עדכוני Feature Pack
• עדכוני Monthly RollUP
• עדכוני Service Pack

כמו שניתן לראות ישנם סוגי עדכונים רבים כאשר חלקם שייכים לגרסאות של Windows 10 וכן Windows Server 2016 ומעלה וחלקם למערכות הפעלה ישנות יותר.

תהליך עדכונים 

תחילה חשוב להדגיש כי לפי המלצות Best Practices לעדכונים של Microsoft מומלץ לבצע עדכון תקין אחרון עד לפני העדכון האחרון, שאינם כוללים עדכוני אבטחה קריטיים (וספציפיים) או Zero-Day.

תהליך עדכונים שנתי צריך להיות בנוי לפי הפרטמטרים הבאים:

• סוגי העדכונים לפי עדיפויות לאבטחה ורק לאחר מכן לעדכונים רגילים
• ביצוע עדכונים אחת לפרק זמן מסוים לכל סוג עדכונים שהוא
• חלוקה לעדכונים לפי תפקידי מערכת כגון שרתי Database וכן הלאה
• ניהול נכון של העדכונים למניעת תקורת זמן גבוהה בניהול העדכונים

מצורפת טבלה של תהליך מדגמי לעדכוני Microsoft שניתן לבצע במסגרת שנתית:

סוג עדכון	זמני עדכון	למי מיועד	הערות
עדכוני אבטחה קריטיים	אחת לחודשיים	תחנות קצה ושרתים	בשרתים לאחר בדיקה בסביבת קדם ייצור
עדכונים רגילים	אחת לרבעון	תחנות קצה ושרתים	בדיקה בסביבה יועדת טרם פריסה לכלל תחנות הקצה בארגון
Zero-Day עדכוני	בהתאם למציאת חולשות	תחנות קצה ושרתים	התקנה מיידית לאחר בדיקה

ישנם דגשים רבים שניתן לכלול בתהליך עדכונים שנתי ואלה הם החשובים שעלינם צריך להתבסס:

• מסגרת זמן לביצוע העדכונים – אחת לחודש, רבעון או פעמיים בשנה
• תפקידי מערכת (סוג שרת) שנדרשים לעדכן – האם מדובר על שרתי Database או שרתי אפליקציות למינהם
• סוג עדכון (אבטחה, רגיל, רבעוני) – מהם סוגי העדכונים שנדרש להתקין בכל פרק זמן מסוים
• מידת השפעה על המערכת – האם העדכונים נבדקו והאם עלולים לגרום לנזק בשרתים ותחנות קצה
• אפשרות לביצוע Rollback – האם העדכונים מאפשרים הסרה במקרה של בעיה
• תאריך יציאת העדכון – חשוב מאוד לדעת האם מדובר בעדכון אחרון או אחד לפני שיכול לכלול תיקון לעדכון
• אפשרות לביצוע עדכון בסביבת קדם ייצור (לשרתים) – במידת האפשר מומלץ לבדוק בשרתי קדם ייצור או משהו בסגנון בכדי למנוע בעיות מול סביבת הייצור
• תחילה עדכון לקבוצה מסוימת של משתמשים – במקרה של משתמשי קצה מומלץ לעדכן למסגרת מסוימת של תחנות קצה ורק לאחר מכן לכלל הארגון.

ישנם דגשים נוספים אך אלה הם החשוןבים שעלינם מומלץ וכדאי להתבסס בכדי למזער את הנזק שבביצוע עדכונים לשרתים ותחנות קצה.

ניהול עדכונים עם מערכות צד שלישי

ישנם אפשרות להיעזר במערכות צד שלישי בביצוע העדכונים וזאת על מנת למזער את הנזק ולנהל את התהליך באופן הנכון:

מערכת Gytpol – אומנם המערכת מיועדת ומתמקדת בכל הקשור אל Group Policy אך יודעת גם לתת מידע רב אודות עדכונים קריטיים וכאלה אשר עלולים לגרום לבעיות אבטחה.

Deep Security – מערכות הנותנות אפשרות לבצע את העדכונים באופן וירטואלי וע”י כך יכולות למנוע עדכונים ישירים אל תחנת הקצה.

מערכות Patch Management – מערכות ייעודיות לביצוע עדכונים ספציפיים מול שרתים ותחנות קצה לפי קטגוריות של תפקידי מערכת וביצו עדכונים באופן פרטני.

עדכון באמצעות OMS – ישנה אפשרות לנהל תהליל עדכונים באמצעות OMS הכולל בדיקה של העדכונים לפי סדר מסוים ורק לאחר מכן ביצוע התקנת עדכונים אלה.

מערכות Vulnerability Assessment – מערכות כדגומת Rapid7 שמטרתם לבצע סריקה על כלל העדכונים החסרים במערכת ולקטלג אותם לפי סוגי העדכונים, סוגי שרתים ותחנות קצה, סוגי השפעה וכן הלאה. ולתת המלצות על ביצוע העדכונים ולעקוב אחר העדכונים באופן פרטני.

לסיכום

ניהול Pacth Management ועדכונים אינו תהליך פשוט אך אפשר לנהל אותו נכון עם נהלים ומערכת ייעודית, ניהול נכון של Pacth Management מאפשר הורדת תקורת ניהול בעדכונים ומזעור נזקים לאחר ביצוע עדכונים אלה.

חשוב להדגיש שוב, כי לפי המלצות Best Practices לעדכונים של Microsoft מומלץ לבצע עדכון תקין אחרון עד לפני העדכון האחרון.