Патч есть, а накатить нельзя: как у вас живёт патч-менеджмент в реальности

[KernelAddict]

Накипело. Все вокруг твердят патчите вовремя, а на практике патч есть а накатить нельзя. У нас половина инфры на сертифицированных ФСТЭК сборках, обновишь сам и до свидания сертификат, жди когда вендор выпустит сертифицированную версию а это месяцы. Bitrix после обновления любит отвалиться, 1С тоже сюрпризы подкидывает. Окна обслуживания раз в месяц ночью. И вот висит у тебя критичная CVE, а ты сидишь и ждёшь. Как вы с этим живёте? Или я один в этом аду?

[thumper416]

Не всё что с высоким CVSS реально надо тушить сегодня. Смотри что эксплуатируется в дикой природе и что торчит наружу, остальное по плану. У ФСТЭК есть БДУ, у американцев KEV, по ним видно что реально жмут. Внутренний сервис за периметром с RCE может подождать окна, а вот публичный с тем же баллом нет. Risk-based это не отмазка а нормальный подход когда ресурсов на всё не хватает.

[infern]

сертифицированная сборка с известной дырой это очень по нашему. формально ты соответствуешь, по факту дыра как дыра. бумажная безопасность во всей красе. я уже не спорю, просто закладываю эти месяцы лага в модель угроз и компенсирую другими средствами

[grumpylurker]

Когда патч накатить нельзя, спасают компенсирующие меры. Виртуальный патчинг на IPS или WAF чтобы прикрыть конкретную CVE сигнатурой, жёсткая сегментация чтобы уязвимый сервис не торчал куда не надо, ограничение доступа по спискам. Это не лечит, но снижает вероятность что до дыры доберутся пока вендор раскачается. У PT и у Касперского сигнатуры под свежие CVE обычно выходят быстрее чем сертифицированный патч.

[zig42]

про bitrix отдельная боль. обновляешь минорку и привет белый экран, потом полдня ищешь какой модуль отвалился. у нас на проде он на отдельной тестовой сначала катается неделю, иначе никак. дырки дырками а простой магазина это сразу деньги

[roylrs]

У нас живёт так: severity определяет SLA. Критичное на периметре 72 часа кровь из носу, остальное в плановые окна 30 или 90 дней. Под Windows WSUS, под линуксы ansible, инвентарь в одном месте чтобы знать что вообще есть. Тестовый контур обязателен, без него обновлять прод 1С или Bitrix это русская рулетка. Да, бюрократия, зато не катаемся по граблям каждый раз.

[coder_vlad]

живём плохо, если честно. патч-менеджмент это там где красивые презентации встречаются с реальностью legacy

[kazuom]

@zig42, Добавьте сюда ещё веселье с доступом к самим апдейтам. С обновлениями Windows и кучи вендоров после санкций пляски с бубном, держим офлайн WSUS и локальные зеркала, иногда обновления приходится доставать окольными путями. Так что у нас лаг не только из-за сертификации, но и из-за того что сам патч ещё попробуй достань легально.