في عالم تحكمه التكنولوجيا المتغيرةباستمرار فمن المهم أن يكون تقييم المخاطر و معالجتها ستباقياً لمعرفة الوضع الراهن للأنظمة المعلوماتية في المؤسسة و معالجة الثغرات التي تم اكتشافها. يتم ذلك عبر سلسلة من عمليات المراقبة والإدارة المستمرة و منها عملية إدارة التصحيح Patch Management التي تتيح هذه العملية إدارة الثغرات الأمنية بشكل عام.
عند اكتشاف ثغرات أمنية في أنظمة التشغيل أو في البرامج تقوم الشركات المسؤولة عنها بإصدار تصحيحات – إصلاحات لنقاط ضعف البرامج – ضمن جداول زمنية معينة قد تكون مرة واحدة شهرياً كما تفعل مايكروسوفت أو ربعياً كما تفعل أوراكل. و كذلك قد تصدر الشركات تحديثات أمنية فورية فيما لو كانت الثغرات المكتشفة خطيرة و يتم استغلالها. و مع ذلك، فإن ثلث الاختراقات السيبرانية تنجح لأن هناك نقاط ضعف في الأنظمة توفر لها تصحيح من الشركة المصنعة ، ولكن لم يتم تطبيقه في الوقت المناسب.
تقليل MTTP لتحسين الموقف الأمني
يعبر زمن Mean Time to Patch (MTTP) عن الوقت الفاصل بين إصدار تصحيح أو تحديث أمني و بين تطبيقه في المؤسسة. الوضع المثالي أن يكون هذا الرقم هو صفر. أي أن يكون تطبيق التحديثات بذات اللحظة التي تصدر بها. لكن تعتبر الشركات في الواقع العملي أن المطلوب ألا يتأخر تطبيق هذه التصحيحات إلى موعد إصدار التصحيح القادم. يعني ذلك أن تحديثات أيلول -2022 يجب أن تطبق قبل إصدار تحديثات تشرين الأول-2022. سيعزز هذا السلوك الموقف الأمني في المؤسسة وسيقلل ذلك بشكل كبير من احتمالية استغلال أي ثغرا ت أمنية.
خيارات إدارة التصحيح في بيئة مايكروسوفت
ترى Susan Bradley أن لدينا العديد من الخيارات لإدارة التصحيح على منتجات Microsoft. يمكن السماح للأجهزة بتحديث أو استخدام أداة تصحيح من جهة خارجية أو عبر خدمات تحديث برامج Windows (WSUS) أو منتج إدارة آخر من Microsoft بشكل مستقل. لا يبدو أن مايكروسوفت قد تخلت عن WSUS حتى الأن ، و لكن بالمجمل، إذا كنت لا تزال تستخدم WSUS كأداة تصحيح ، فقد ترغب في مراجعة خياراتك باعتبار أن Microsoft تطور أدوات تصحيح إضافية تتيح لك إدارة الأنظمة والتحكم في الوصول بشكل أفضل.
هل قاربت رحلة WSUS على النهاية؟
حافظت Microsoft منذ فترة طويلة على الوضع الراهن لـ WSUS ، منتج إدارة التصحيح الخاص بها. مع أن مايكروسوفت لا تزال تدعم WSUS ، لكن لا يبدو أنها تقوم باستثمارات جديدة فيه أو تعالج المشاكل التي تظهر فيه. مثال على ذلك ، إذا فشل خادم WSUS في المزامنة ، فقم بتعطيل فئة Windows “قناة Windows Insider Dev.” يؤدي تحديد هذه الفئة إلى إنشاء رسالة خطأ أثناء المزامنة. إن Microsoft على علم بالمشكلة ولكنها لم تعط أي وقت تقديري لإصلاحها.
كذلك، لم تحدث مايكروسوفت WSUS منذ سنوات. إذا كنت تفكر في استخدام WSUS كنظام أساسي لإدارة التصحيح ، فمن الأفضل تخصيص ميزانية للاشتراك في WSUS Automated Maintenance ، والتي تتضمن البرامج والإجراءات لتحسين WSUS.
ما الذي تفعله Microsoft لتحسين إدارة التصحيح؟
بعد الوباء ، تحول الكثير من منظمات الأعمال إلى عمليات النشر المختلطة hybrid deployments و بالتالي كان من الضروري التعامل مع إدارة التصحيح في كل من أماكن العمل والأنظمة البعيدة. في محاولة لإصلاح تلك الأنظمة المختلطة ، أصدرت مايكرسوفت توصيات حول تجزئة الاتصال عن بعد VPN للسماح لبيانات إدارة التصحيح بالمرور عبر اتصال الشبكة المحلية مع المحافظة على سلامة و تدفق الأعمال.
تحديث ويندوز الخاص بالأعمال
من الواضح أننا بحاجة إلى مزيد من الخيارات للتحكم في التصحيح باستخدام الحوسبة السحابية. تعمل Microsoft على خيارات تسمح بمزيد من التحكم دون الحاجة إلى الاعتماد على خادم محلي. أولاً ، قدمت Microsoft Windows Update للأعمال. هذه مجموعة من إعدادات Group Policy التي تسمح لك بتعيين عناصر تحكم للتحديث دون استخدام WSUS ، لكنها تفتقر إلى ميزة التقارير Windows Update for Business Reports. حيث ينبغي الإيفاء بالمتطلبات التالية للحصول عليها:
- .يجب أن يكون لديك اشتراك Azure مع Azure Active Directory (Azure AD).
- أن تكون الأجهزة مرتبطة بـ Azure AD وتفي بمتطلبات الوصول إلى نقطة النهاية ونظام التشغيل والتشخيص.
- يمكن أن تكون الأجهزة مرتبطة بـ Azure AD أو ربط Azure AD المختلط.
- الأجهزة المسجلة في Azure AD فقط (Workplace joined) غير مدعومة بتقارير Windows Update للأعمال.
- وجود مساحة عمل Log Analytics في منطقة مدعومة.
لا يدعم Windows Update لتقارير الأعمال الأجهزة المسجلة في Azure AD فقط (Workplace joined). و يمكن من خلال مركز إدارة Microsoft 365 التسجيل في Windows Update for Business Reports ، وسيستغرق الأمر حوالي 24 ساعة قبل أن تتفعل هذه الميزة.
إدارة التصحيح باستخدام ويندوز Autopatch
لدى Microsoft خدمة إدارة تصحيح أخرى لمجموعات محددة من المستخدمين. كما تلاحظ Microsoft ، “Windows Autopatch هي خدمة تلغي حاجة المؤسسات لتخطيط وتشغيل عملية التحديث. يقوم Windows Autopatch بنقل العبء من قسم تكنولوجيا المعلومات إلى Microsoft. يستخدم Windows Autopatch Windows Update for Business ومكونات الخدمة الأخرى لتحديث الأجهزة. كلاهما جزء من Windows Enterprise E3. و يحتاج ذلك بعض المتطلبات المسبقة و تشمل:
إصدارات Windows 10/11 Enterprise و Professional المدعومة
Azure Active Directory (Azure AD) Premium
Hybrid Azure AD-Join أو Azure AD-Join فقط
نسخة مدعومة من Configuration Manager
تبديل أعباء العمل لتكوين الجهاز و Windows Update و Microsoft 365 Apps من Configuration Manager إلى Intune . يجب أن تحتوي المجموعة التجريبية الأجهزة التي تريد تسجيلها في Autopatch.
يتم بعد ذلك طرح الإصدارات تدريجياً خلال فترة 14 يوماً.
إدارة امتياز Microsoft Endpoint
لا تعد تحديثات Windows و Office تصحيحات الأمان الوحيدة التي يجب أن تقلق بشأنها. في أغلب المؤسسات نستخدم أدوات إدارة برامج التشغيل والتحكم عن بعد ونقطة النهاية end point ومكافحة الفيروسات. كل هذه الأدوات تعرض الشبكة للخطر إذا لم يتم تحديثها. بينما تقدم أجهزة Surface من Microsoft برامج التشغيل الخاصة بها من داخل تجربة Windows Update ، لا يمكن قول الشيء نفسه بالنسبة للأجهزة الأخرى. يتطلب تحديث هذه التطبيقات أدوات نشر أو وظائف إدارية
ستخرج Microsoft بأدوات إدارة أكثر تقدماً في الإضافات القادمة من Intune. ستسمح الخدمة الجديدة التي ستصدر في آذار -2023 تحت اسم endpoint privilege management للمسؤولين أتمتة و إدارة هذه العمليات بمرونة. يمكنك تعيين القواعد بحيث يمكن للمستخدمين أداء مهام مثل تثبيت وتحديث التطبيقات أو الطابعات أو الأجهزة الأخرى المعتمدة.
Why it’s time to review your Microsoft patch management options
