Практика «выкатывания» патчей по расписанию безнадежно устарела, и в отношении традиции «вторника патчей« можно сказать, что грядут большие перемены.

На этой неделе на конференции Ignite Microsoft представила новую схему дистрибуции обновлений под названием Windows Update for Business, которая будет сначала реализована в Windows 10. Она предложит ряд новых возможностей для более эффективного применения патчей и их приоритизации ИТ-администраторами. Таким образом, для корпоративных и частных пользователей, не работающих на устройствах под Windows Pro или Windows Enterprise, на которых данный сервис предоставляется бесплатно, традиционному процессу установки обновлений, происходящему каждый второй вторник месяца, пришел конец.

«Мы больше не будем отправлять все обновления сразу в один и тот же день месяца всем пользователям», — заявил Терри Майерсон (Terry Myerson), исполнительный вице-президент подразделения операционных систем в Microsoft.

Итак, вместе с этим заявлением уходит в вечность 12-летняя эпоха «вторников патчей». Компании, которым раньше приходилось бросать все силы на установку регулярных обновлений по вторникам, теперь будут получать патчи и обновления, а также новые функции по мере их появления. Таким образом, окно возможностей для эксплуатации уязвимостей закроется чуть больше. Наверняка овация, которой наградила аудитория речь Майерсона, также раздавалась во всех серверных мира.

Для пользователей Windows Update for Business процесс предоставления патчей будет выглядеть по-иному. Несколько этапов дистрибуции обновлений позволят администраторам самим определять, какие системы получат обновления первыми — например, компьютеры географически распределенных филиалов и сотрудников, работающих удаленно. Кроме того, администраторы смогут назначать сроки обслуживания для определенных рабочих мест и систем, а затем интегрировать механизм установки обновлений в существующие сервисы и инструменты обслуживания.

«Конечные пользователи наверняка захотят быть в первых рядах в очереди на установку обновлений. Конечно, маловероятно, что они хотят быть своеобразными «подопытными кроликами», но при этом они всегда стремятся первыми оценить новые функции и изменения в ОС, — считает Крис Гетль (Chris Goettl) из компании Shavlik, предлагающей профессиональные услуги в области управления обновлениями. — Благодаря новому подходу компании смогут воспользоваться рядом преимуществ. ИТ-организация может, например, провести испытание обновлений на группе «пионеров» до того, как начать их массированную установку на компьютерах всех пользователей. Это позволит оценить масштаб изменений, стабильность апдейтов, а также изолировать потенциальные проблемы того или иного пакета обновлений».

По словам Microsoft, компания будет предлагать опцию под названием Long Term Servicing Branches, в рамках которой обновления безопасности будут устанавливаться только на избранных системах точно так же, как устанавливаются в настоящий момент вторничные обновления.

«Такие изменения резко снизят значимость «вторника патчей», — сказал Гетль.

Ни для кого не секрет, что в последние месяцы Microsoft постоянно вводила некоторые новшества в политику выпуска патчей. Сначала после вступления в должность нового CEO Сатьи Наделлы (Satya Nadella) компания прошла через реструктуризацию, в результате которой потеряли работу 2100 человек, а группа Trustworthy Computing Group была интегрирована в подразделения Microsoft, отвечающие за корпоративные и облачные технологии. После всех этих пертурбаций, произошедших в сентябре 2014 года, качество патчей пострадало: выход некоторых важных исправлений пришлось отложить, и известные активно эксплуатируемые уязвимости оставались незалатанными в течение невероятно долгого времени. Нельзя не напомнить о решении компании прекратить действие сервиса пренотификации, в рамках которого пользователи получали информацию о готовящихся обновлениях в четверг перед «вторником патчей»; теперь эта опция доступна только клиентам, купившим пакет премиальных сервисов поддержки.

Теперь же, когда туман рассеялся, стало ясно, что в Редмонде запланировали капитальный ремонт «вторника патчей». Для тех клиентов, которые относятся к вопросам безопасности более сдержанно, данное решение означает, что весь парк устройств будет регулярно получать актуальные обновления. Для корпоративных заказчиков новый принцип предоставления патчей предполагает больше возможностей в плане выбора опций и уровня контроля за процессом обновления.

«Некоторые люди готовы устанавливать новое ПО сразу же, как только оно пройдет внутреннее тестирование, — отметил Майерсон из Microsoft. — Они не хотят ждать ни секунды. Но есть и пользователи, которые предпочитают осторожничать: они хотят подождать того момента, когда все потенциальные проблемы с совместимостью или функциональностью будут решены. Вот и замечательно, мы просто дадим пользователю выбор. Таким образом мы будем уверены в качестве патчей, так как предварительно протестируем их на большой «фокус-группе».

В настоящий момент крупные организации, обычно медленные и неповоротливые, скорее всего, предпочтут сохранить принятые ранее процессы обновления и конфигурирования. Некоторые компании не могут себе позволить остановить работу из-за сбоя, спровоцированного проблемами совместимости патча с другими приложениями, или необходимости перезагрузки в рабочее время.

«Представьте только, какие проблемы могут возникнуть с обеспечением целостности ссылочных данных в реляционных БД, если на какие-то компьютеры патчи «встанут» корректно, а на другие — нет, и это потребует перезагрузки или даже отключения системы, — отмечает Мори Хейбер (Morey Haber), вице-президент по технологиям в компании Beyond Trust. — В случае если апдейты будут приходить в различное время, у компаний не будет ориентира, позволяющего оценить результат установки патчей, как это было возможно при применении прежней модели доставки всех доступных патчей в одно и то же время».

Однако, учитывая, с какой частотой хакеры, как «добрые», так и «злые», находят и публикуют уязвимости, организации больше не могут позволить себе просто сидеть и ждать три-четыре недели, пока выйдет патч. Скорость, с которой атаки превращаются в эксплойт-паки, заставит любого критика новой политики Microsoft задуматься.

«Крупные предприятия всегда медленнее внедряют новые методы и стараются не рисковать, особенно когда дело касается ИТ. Но у сторонников противоположного подхода есть мощный аргумент: почему бы не сократить расходы на сервисы по установке патчей, раз мне не придется постоянно устанавливать заплатки? — рассуждает Эндрю Стормс (Andrew Storms), вице-президент по сервисам безопасности в New Context. — Если бы я был на месте CIO крупной корпорации, я был бы чрезвычайно рад такому повороту событий».

Представители Microsoft не ответили на наши вопросы в рамках подготовки настоящей статьи, ограничившись заявлением: «Windows Update for Business отвечает за своевременное распространение клиентам Microsoft обновлений безопасности на бесплатной основе. Заказчики, которые предпочитают заниматься установкой обновлений самостоятельно, продолжат получать их каждый второй вторник месяца».

Категории: Уязвимости