Архив метки: Autopatch

Это второй выпуск Vulnerability Management news and publications

Добавить комментарий

Это второй выпуск Vul­ner­a­bil­i­ty Man­age­ment news and pub­li­ca­tions. В этот раз меньше цитат из новостных статей, больше моих мыслей. Выглядит вроде получше, вам как?

Основная мысль этого эпизода. Microsoft это ангажированная компания. Фактически их можно теперь воспринимать как ещё одно американское агентство. Значит ли это, что нам нужно о них забыть и прекратить отслеживать, что они делают? Нет, не значит. Они делают много интересных вещей, которые как минимум можно исследовать и копировать. Значит ли это, что нужно отказаться от использования продуктов Microsoft? В некоторых локациях (вы сами знаете каких) точно да, в некоторых можно продолжать использовать, если это оправдано, но нужно иметь план Б. И это касается не только Microsoft. Т.е. видится гибкий подход. Здесь — поступаем так, там — по-другому. Кажется, что довольно жесткая фрагментация рынка IT это долгосрочный тренд и надо к нему приспосабливаться.

В этом эпизоде:

01:03 Microsoft выпустили пропагандистский отчет, что это значит для нас?
06:48 Microsoft выпустили функцию Autopatch, стоит ли ее применять?
09:59 Нелепая уязвимость: захардкоженный пароль в Con­flu­ence Ques­tions
11:50 Новый Nes­sus Expert и почему это, по-видимому, худший релиз Ten­able
13:20 Новые фичи Rapid7 Nexpose/InsightVM, добавленные во втором квартале 2022 года: хорошее и странное
16:46 Palo Alto: вредоносное сканирование через 15 минут после публикации CVE. Да неужели?
19:36 6 групп уязвимостей, которые чаще всего используются в атаках, согласно Palo Alto, и конец ИТ-глобализации

Video: https://youtu.be/_waOzdBvIyU
Video2 (for Rus­sia): https://vk.com/video-149273431_456239097
Blog­post: https://avleonov.com/2022/08/14/vulnerability-management-news-and-publications‑2/

На недельке Microsoft выкатили функцию автообновления для Windows 10/11 с лицензиями Enterprise E3 и E5 (то есть не обычные, а более дорогие лицензии)

1 комментарий

На недельке Microsoft выкатили функцию автообновления для Win­dows 10/11 с лицензиями Enter­prise E3 и E5 (то есть не обычные, а более дорогие лицензии). Также должен быть настроен Hybrid Azure Active Direc­to­ry. Но если все будет закуплено и настроено, то обновлениями MS-ных продуктов, драйверов и прочего смогут автоматически кататься сами из MS-ного облака. Причем чаще чем раз в месяц. Причем не так, что все обновления разом накатятся на все хосты с риском, что что-то отъедет, а постепенно, чтобы можно было среагировать и откатиться.

"The 'test ring' con­tains a min­i­mum num­ber of devices, the 'first ring' rough­ly 1% of all end­points in the cor­po­rate envi­ron­ment, the 'fast ring' around 9%, and the 'broad ring" the rest of 90% of devices.
The updates get deployed pro­gres­sive­ly, start­ing with the test ring and mov­ing on to the larg­er sets of devices after a val­i­da­tion peri­od that allows device per­for­mance mon­i­tor­ing and pre-update met­rics com­par­i­son.
Win­dows Autopatch also has built-in Halt and Roll­back fea­tures that will block updates from being applied to high­er test rings or auto­mat­i­cal­ly rolled back to help resolve update issues."

Удобно это? Да конечно удобно. Опасно это? Ну зависит от доверия вендору, веры в его стабильность и его собственную безопасность. Вопрос сейчас неоднозначный. 😏

Но в целом это наряду с Defend­er for End­point (EDR, VM) и Intune это выглядит как правильное прогрессивное направление развития ОС. Во всяком случае десктопных. Если вы доверяете вендору ОС логично и доверять облачным IT сервисам этого вендора, облегчающих жизнь админам и безопасникам. Не знаю задумываются ли в эту сторону в Астре, Альте, РедОСе и т.д., но вообще кажется есть смысл концепции у MS перерисовывать.

С другой стороны пока такой автопатчинг это не панацея конечно, потому что с обновлением third-par­ty все совсем не так тривиально. Patch Man­age­ment все равно будет нужен. Но у MS кажется много ресурсов, чтобы постепенно и в этом направлении двигаться. Работает же у них детект уязвимостей для third-par­ty в Defend­er for End­point, что тоже совсем не просто, запилят и обновления. Если Qualys могут, то и MS смогут.