टिप्पणी पैचिंग: प्रत्येक आईटी पेशेवर के लिए अभिशाप। यह कृतघ्न, श्रमसाध्य कार्य है जिसे कोई भी नहीं करना चाहता है, जब वे काम में बाधा डालते हैं तो इसकी सराहना नहीं की जाती है, और फिर भी यह आज के खतरनाक माहौल में पहले से कहीं अधिक महत्वपूर्ण है।
तो यह गिद्ध यह जानकर आश्चर्यचकित है कि, एक दशक में जब से उसने चैटिंग चरागाहों के लिए आईटी करियर छोड़ा है, चीजें वास्तव में सुधार नहीं हुई हैं, या तो पैच दरों के मामले में या उन लोगों की कठिनाइयों के मामले में जो इसकी देखभाल करते हैं।
फॉरेस्टर के प्रमुख विश्लेषक एंड्रयू हेविट ने कहा, “पैचिंग अभी भी बेहद कठिन है।” रजिस्टर. हेविट, जो आईटी परिचालन में विशेषज्ञ हैं, ने कहा कि हालांकि संगठन 97 से 99 प्रतिशत पैच दर का लक्ष्य रखते हैं, लेकिन वे आम तौर पर केवल 75 से 85 प्रतिशत समस्याओं को ही सफलतापूर्वक हल कर पाते हैं।
हेविट ने कहा, “अनुपालन के दृष्टिकोण से हम यहीं नहीं रहना चाहते।”
यह भी ध्यान रखें कि सुधार हमेशा अपेक्षा के अनुरूप काम नहीं करते हैं और इससे चीज़ें और भी बदतर हो सकती हैं। इसलिए परीक्षण और मूल्यांकन तैनाती प्रक्रिया में समय और तनाव जोड़ता है।
क्या हाल ही में कुछ सुधार हुआ है? नहीं, फॉरेस्टर के वरिष्ठ विश्लेषक एरिक नोस्ट कहते हैं, जिन्होंने भी बात की थी रजिस्टर सुरक्षा के दृष्टिकोण से पैचिंग के बारे में। नोस्ट ने देखा कि अगर पिछले दशक में कुछ भी सुधार हुआ है, तो वह व्यावसायिक पक्ष है: हम अंततः समझते हैं कि सिस्टम को अद्यतन रखना कितना आवश्यक है।
नोस्ट ने कहा, “ऐसा प्रतीत होता है कि इस दृष्टिकोण की आवश्यकता के बारे में अधिक समझ है, क्योंकि व्यावसायिक अधिकारी इस बात से अधिक अवगत हैं कि कैसे खराब गुणवत्ता वाले पैच महंगे मैलवेयर संक्रमण या अन्य सुरक्षा मुद्दों को जन्म दे सकते हैं।” नोस्ट ने हमें बताया कि लगभग 79% सुरक्षा अधिकारियों का कहना है कि उनके व्यापारिक नेता पैचिंग रुकावटों को “आवश्यक असुविधा” के रूप में देखते हैं, जिसे सुरक्षा और आईटी टीमों के बेहतर प्रशिक्षण से मदद मिली है।
हालाँकि पैच अद्यतन समस्याएँ बहुत अधिक नहीं बदली हैं। उल्टे हालात और भी खराब हो गए हैं.
विंडोज़ अपडेट लागू करना ऐसा नहीं है जिसके लिए कई लोगों ने साइन अप किया है
नोस्ट ने कहा, “लोग पूरे दिन सिस्टम को अपडेट करने के लिए आईटी परिचालन में नौकरी नहीं करते हैं।” “वे दिलचस्प परियोजनाओं और अत्याधुनिक प्रौद्योगिकियों पर काम करने के लिए ये नौकरियां लेते हैं। अधिकांश लोग विंडोज़ अपडेट करने के लिए प्रतिबद्ध नहीं हैं। »
तीसरे पक्ष के अनुप्रयोगों के बढ़ते पारिस्थितिकी तंत्र के साथ मिलकर, एंडपॉइंट प्रबंधन उपकरण जो वास्तव में पैच प्रबंधन, बैंडविड्थ मुद्दों (महामारी के कारण दूरस्थ कार्य में बदलाव से बढ़ी) और वास्तुशिल्प चुनौतियों को संभालने के लिए डिज़ाइन नहीं किए गए हैं, आईटी टीमों के पास “अत्यधिक मात्रा में” है करने के लिए काम का,” हेविट ने हमें बताया।
वह इन चुनौतियों को कहीं से भी नहीं खींचता है। एंडपॉइंट प्रबंधन कंपनी एडैप्टिवा ने 2023 में अपने पैच प्रबंधन की स्थिति का खुलासा किया प्रतिवेदन (पीडीएफ) औसत संगठन लगभग 2,900 सॉफ्टवेयर अनुप्रयोगों का प्रबंधन करता है और 69% आईटी टीमों का मानना है कि इन सभी अनुप्रयोगों को समय पर पैच करना असंभव है।
अर्थात्, अच्छे प्रशासक जानते हैं कि उन्हें सुरक्षा कमजोरियों और अन्य समान महत्वपूर्ण मुद्दों को ठीक करने की आवश्यकता है, और किसी के द्वारा उनका लाभ उठाने से पहले इन अद्यतनों का यथाशीघ्र परीक्षण और तैनाती करने के लिए काम करना चाहिए। बात बस इतनी है कि जीवन कभी भी इतना सरल नहीं होता और सभी प्रकार के कारक इसमें बाधा डालते हैं।
उदाहरण के लिए, एडैप्टिवा के अध्ययन में औसत डिवाइस पर इंस्टॉल किए गए एप्लिकेशन की बढ़ती संख्या, रिमोट पैच परिनियोजन के लिए अपेक्षाकृत कम बैंडविड्थ और हेविट द्वारा उजागर किए गए अन्य मुद्दों का हवाला दिया गया है।
और हालांकि यह ध्यान रखना महत्वपूर्ण है कि एडेप्टिवा की गेम में कुछ हिस्सेदारी है, यह देखते हुए कि यह पैच को स्वचालित करने के लिए सॉफ्टवेयर बेचता है, इसकी संख्या उद्योग में अन्य खिलाड़ियों के साथ मेल नहीं खाती है।
इस बीच, कमजोरियाँ बढ़ती हैं
जहां पैच रहित सिस्टम हैं, वहां पैच रहित कमजोरियां भी हैं – और उनका फायदा उठाने के लिए कोडित मैलवेयर की कोई कमी नहीं है।
किसी को उम्मीद होगी कि, यदि समाधान आसान नहीं हुए हैं, तो कठिनाइयाँ कम से कम स्थिर रहेंगी – लेकिन नोस्ट के अनुसार, ऐसा नहीं है। उन्होंने कमजोरियों को दूर करने में एनआईएसटी के भारी बैकलॉग को ध्यान में रखते हुए कहा, तकनीकी उद्योग कमजोरियों से इस हद तक अभिभूत है कि अब यह टिक नहीं सकता है। प्रगति पर है तब से फ़रवरी.
नोस्ट ने कहा, “सीवीई के बिना, उस पैच पर भेद्यता को बांधना मुश्किल है जिसे लागू करने की आवश्यकता है,” और वहां से यह जटिल हो जाता है। »
उन्होंने चेतावनी दी कि “सुरक्षा शोधकर्ता एक गंभीर, सुर्खियाँ बटोरने वाली भेद्यता की खोज करके एक बड़ा दिखावा करने की कोशिश कर रहे हैं” जिससे स्थिति और भी खराब हो गई है, जिससे ‘एक विशिष्ट समस्या’ से एक बड़े जोखिम को अलग करना कठिन हो गया है। यदि हर दूसरे बग में एक लोगो, एक समर्पित वेबसाइट है जो अलार्म बजाती है, और एक मीडिया आउटलेट के साथ इसके बारे में एक विशेष साक्षात्कार है, तो आईटी पेशेवरों के लिए यह निर्धारित करना मुश्किल है कि किसे प्राथमिकता दी जाए। सीवीएसएस गंभीरता स्कोर ही जाता है अभी तक।
वहां करने के लिए क्या है?
यदि हम जानते हैं कि पैचिंग अभी भी एक समस्या है और पिछले कुछ वर्षों में इसमें बहुत सुधार नहीं हुआ है, तो निश्चित रूप से हम इसके बारे में कुछ कर सकते हैं?
हालाँकि पैचिंग को अधिक प्रभावी बनाने के लिए उनके पास अलग-अलग दृष्टिकोण हैं, हेविट और नोस्ट इस बात से सहमत हैं कि इस कार्य के सिरदर्द बने रहने का एक मुख्य कारण जवाबदेही की कमी है। सुरक्षा दल और आईटी संचालन दल इस कार्य की ज़िम्मेदारी उठाने के लिए संघर्ष कर रहे हैं। छँटनी और आकार घटाने से मामला और भी जटिल हो जाता है।
“आप जीरा टिकट खोल सकते हैं और इसे (अपनी आईटी ऑपरेशंस टीम) या किसी को भी भेज सकते हैं, लेकिन सिस्टम एडमिन या व्यवसाय स्वामी कौन है जो वास्तव में इस फिक्स के अपडेट के लिए ज़िम्मेदार है? यह और भी जटिल हो जाता है जब आप एप्लिकेशन स्तर पर कमजोरियां ढूंढना शुरू करते हैं, ”नोस्ट ने समझाया।
“इस जिम्मेदारी को परिभाषित करना अभी भी बहुत, बहुत कठिन है। उन्होंने कहा, “इसलिए मैं कहूंगा कि बहुत से लोग अभी भी दैनिक आधार पर भेद्यता प्रबंधन को समझने में बहुत समय बिताते हैं।”
हेविट ने भी यही बात कही और महसूस किया कि इस बाधा को दूर करने का एकमात्र तरीका आईटी संचालन और सुरक्षा टीमों को एक ही पृष्ठ पर लाना है – और जहां तक उनका संबंध है, आईटी संचालन टीमों को ही प्रक्रिया को आगे बढ़ाना चाहिए।
सुरक्षा पेशेवर, आनन्दित हों।
हेविट ने कहा, “पैचिंग क्षमताएं आईटी ऑपरेशंस टूल में बनाई गई हैं।” “चाहे आप माइक्रोसॉफ्ट, इवांती, टैनियम या अन्य का उपयोग करें, पैच प्रबंधन क्षमताएं आईटी संचालन टूल में निर्मित होती हैं। »
उन्होंने कहा कि कंपनियों में डेटा की अत्यधिक साइलोइंग के कारण जिम्मेदारियों को अपडेट करना और भी अधिक भ्रमित करने वाला है, जिससे अलग-अलग टीमों को अलग-अलग डेटा सेट के साथ काम करना पड़ता है।
“अक्सर आपके पास भेद्यता प्रबंधन के लिए एक मंच होता है और पैच प्रबंधन के लिए दूसरा, जिसके नीचे कोई सामान्य डेटा सेट नहीं होता है,” हेविट ने हमें बताया, उन्होंने कहा कि कई आईटी उत्पाद पहले से ही इस दिशा में विकसित हो रहे हैं।
आपके पास एक मंच भेद्यता प्रबंधन के लिए है और दूसरा सामान्य डेटा सेट के बिना पैच प्रबंधन के लिए है
“कई समापन बिंदु प्रबंधन उपकरण एकीकृत भेद्यता और पैच प्रबंधन क्षमताएं बनाते हैं। इसलिए जब उपयोगकर्ता के अंतिम बिंदुओं की बात आती है तो मैं इसे आसान बनाने की कोशिश करने की भविष्य की प्रवृत्ति देखता हूं, ”हेविट भविष्यवाणी करते हैं।
नोस्ट का मानना है कि उपयोगकर्ताओं के सामने आने वाली कई पैचिंग समस्याओं को आधुनिक स्वचालन उपकरणों के साथ हल किया जा सकता है, लेकिन वह कहते हैं कि पैचिंग जिम्मेदारियों के स्वामित्व के आसपास उपरोक्त मुद्दों के कारण कई संगठन उन्हें अपनाने में संकोच करते हैं।
इसके अतिरिक्त, नोस्ट ने कहा कि कई कंपनियां अभी भी पैचिंग पर सीधा नियंत्रण रखना चाहती हैं, जिसे हेविट ने पूरी तरह से उचित बताया है। उनका मानना है कि पैच लूप में एक इंसान का होना जरूरी है, भले ही प्रक्रियाएं कितनी भी स्वचालित क्यों न हों।
हेविट ने कहा, “कुछ चीजें हैं जिनके लिए आप सहज दृष्टिकोण अपना सकते हैं, खासकर जब छोटे अपडेट की बात आती है।” “लेकिन मैं ये सब सोचता हूं क्राउडस्ट्राइक आउटेज “यह बहुत से लोगों को उस खतरे के प्रति सचेत करता है जो स्वचालित अपडेट उत्पन्न कर सकता है। »
इस लेख के लिए हमने जिन दोनों विश्लेषकों से बात की, वे इस बात पर सहमत हैं कि हालांकि, समझने योग्य कारणों से, व्यापार जगत में पैच प्रबंधन खराब बना हुआ है, लेकिन ऐसा होना जरूरी नहीं है। चीजों को सरल बनाने के उपकरण मौजूद हैं, स्वचालन संवर्द्धन से लेकर नए एंडपॉइंट प्रबंधन उत्पादों में दृश्यता सुधार तक, लेकिन व्यवसायों को वास्तव में उनका उपयोग करने की आवश्यकता है।
यह काम करने के लिए बहुत ही असेक्सी चीज़ है, कोई भी इसे नहीं करना चाहता
“मुझे लगता है कि यह ज्यादातर तकनीकी ऋण के कारण आता है,” हेविट ने समझाया।
हेविट ने कहा, “यह एक अनाकर्षक कार्य है, कोई भी इसे करना नहीं चाहता है और हर कोई सोचता है कि इसे स्वचालित किया जाना चाहिए, लेकिन कोई भी इसकी जिम्मेदारी नहीं लेना चाहता है।” “शुद्ध परिणाम यह है कि कुछ भी नहीं किया जाता है और लोग तकनीकी ऋण की इस स्थिति में रहते हैं जहां वे प्राथमिकता देने में सक्षम नहीं होते हैं। »
हेविट ने निष्कर्ष निकाला, “मुझे उम्मीद है कि यह क्राउडस्ट्राइक परियोजना मदद करेगी।”
यह क्या दिया पूर्व कंप्यूटर मुंशी दस साल पहले की तुलना में पैच की स्थिति को देखते हुए, उन्हें उम्मीद नहीं थी कि क्राउडस्ट्राइक टूट – फूट वास्तव में लोगों को प्रेरित करता है।
अन्यथा साबित करना आईटी टीमों पर निर्भर है – और मुझे गलत साबित होना अच्छा लगेगा। ®
