Łatanie systemów w małym środowisku
W korporacyjnych działach IT łatanie systemów jest skomplikowanym procesem obejmującym dużą liczbę systemów testowych odzwierciedlających systemy produkcyjne, tak aby każda nowa łatka dostarczana przez dostawców systemów operacyjnych i oprogramowania mogła być testowana w rzeczywistym środowisku w celu sprawdzenia, jak wchodzi w interakcje ze sprzętem i kombinacjami oprogramowania dostępnymi w organizacji. W idealnym świecie każdy dział IT miałby zarządzany proces łatania, który natychmiast reagował na nowo opublikowane łatki, testował je natychmiast i stosował, gdy tylko łatka zostanie uznana za bezpieczną i odpowiednią. Ale świat nie jest idealny i w rzeczywistości musimy radzić sobie z ograniczonymi zasobami: fizycznymi, czasowymi i finansowymi.
Łatki są generalnie wydawane z kilku kluczowych powodów: bezpieczeństwo, stabilność, wydajność i, od czasu do czasu, w celu dostarczenia nowych funkcji. Z wyjątkiem dodawania nowych funkcji, które są normalnie obsługiwane przez inny proces wydawniczy, łatki stanowią poprawkę do znanych problemów. To nie jest scenariusz „jeśli nie jest zepsute, nie naprawiaj" – to scenariusz „jest zepsute i jeszcze całkowicie nie zawiodło", który wymaga uwagi – im szybciej, tym lepiej. Podejście „usiądź i poczekaj" do łatek jest nierozsądne, ponieważ istnienie nowej łatki oznacza, że złośliwi hakerzy mają „poprawkę" do analizy i nawet jeśli exploit nie istniał wcześniej, wkrótce się pojawi. Sam fakt wydania łatki może być sygnałem do natychmiastowego zapotrzebowania na nią.
Ten ekosystem łatek tworzy potrzebę mentalności „łataj szybko". Łatki nigdy nie powinny czekać – należy je stosować często, najczęściej jak tylko zostaną wydane i przetestowane. Czekanie z łataniem może oznaczać działanie z krytycznymi błędami bezpieczeństwa lub utrzymywanie systemów jako niepotrzebnie zawodnych.
Małe działy IT rzadko, jeśli w ogóle, posiadają środowiska testowe – zarówno dla serwerów, sprzętu sieciowego, jak i nawet desktopów. Nie jest to idealne, ale realistycznie, nawet gdyby te środowiska były dostępne, mało które małe firmy posiadają nadmiarowe zasoby ludzkie IT, aby przeprowadzić te testy w odpowiednim czasie.
To nie jest tak ponure, jak brzmi. Testy wykonywane dla większości łatek są zbędne w stosunku do łatania już przetestowanego przez dostawcę. Dostawcy nie mogą przetestować każdej interakcji sprzętu i oprogramowania, jaka kiedykolwiek może wystąpić z ich produktami, ale generalnie testują szerokie zakresy permutacji i przyglądają się obszarom, gdzie interakcje są najbardziej prawdopodobne. Rzadko zdarza się, aby główny dostawca unieruchomił własne oprogramowanie złymi łatkami. Tak, zdarza się to i posiadanie dobrych kopii zapasowych oraz planów wycofania zmian jest ważne, ale w codziennych operacjach łatanie jest stosunkowo bezpiecznym procesem, który jest o wiele ważniejsze wykonywać niezwłocznie, niż czekać na okazje, które mogą lub nie mogą nastąpić.
Jak każda zmiana systemu, łatki najlepiej stosować w częstych, małych dawkach. Jeśli łatki są stosowane niezwłocznie, normalnie należy zastosować tylko jedną lub kilka łatek jednocześnie. W przypadku systemów operacyjnych nadal możesz musieć radzić sobie z wieloma łatkami jednocześnie, zwłaszcza jeśli łatasz tylko raz w tygodniu, ale rzadko musisz łatać dziesiątki lub setki plików jednocześnie, gdy robisz to w ten sposób. W ten sposób o wiele łatwiej jest ocenić łatki pod kątem negatywnych skutków i wycofać je w przypadku, gdy proces łatania pójdzie źle.
Najgorszym scenariuszem dla małej firmy pozbawionej właściwego przepływu pracy testowania łatek jest czekanie z łatkami. Czekanie oznacza, że systemy są pozbawione niezbędnej opieki przez długie okresy czasu, a gdy łatki są w końcu stosowane, często odbywa się to w dużych, zbiorczych procesach łatania. Stosowanie wielu łatek jednocześnie zwiększa szansę, że coś pójdzie nie tak, a gdy tak się stanie, zidentyfikowanie, która łatka (lub łatki) jest winna, i wyznaczenie ścieżki naprawczej może być o wiele trudniejsze.
Opóźnione łatanie to proces, który przynosi niewielkie lub żadne korzyści zarówno dla IT, jak i dla firmy, ale niesie ze sobą znaczne ryzyko dla bezpieczeństwa, stabilności i wydajności. Najlepszą praktyką łatania w małym środowisku jest albo pozwolenie systemom na samodzielne łatanie tak szybko, jak to możliwe, albo zaplanowanie regularnego procesu łatania – być może cotygodniowego – w czasie, gdy firma jest najbardziej przygotowana na to, że łatanie może się nie powieść i konieczne będzie naprawienie skutków. Niezależnie od tego, czy zdecydujesz się na automatyczne łatanie, czy na regularne łatanie ręczne, łataj często i niezwłocznie, aby uzyskać najlepsze wyniki.

