НКЦКИ предлагает алгоритм принятия решения по обновлению критичного ПО, не относящегося к open-source

В долгосрочной перспективе это может привести к накоплению неисправленных уязвимостей.

Зафиксированы случаи внедрения разработчиками программного обеспечения (ПО) из недружественных Российской Федерации стран недокументированных возможностей или добавления механизмов блокировки работы ПО. В качестве первоочередной краткосрочной меры по обеспечению информационной безопасности Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ранее рекомендовал отключить автоматическое обновление для иностранного ПО.
В долгосрочной перспективе это может привести к накоплению неисправленных уязвимостей. В результате возникнет угроза компрометации данных, нарушения функционирования оборудования или бизнес-процессов. Риски эксплуатации злоумышленниками неисправленных уязвимостей могут быть выше рисков внедрения разработчиками программного обеспечения недокументированных возможностей.

В связи с тем, что разработчики программного обеспечения (ПО) из недружественных РФ стран стали встраивать нежелательный контент для пользователей из России, а также повысился риск внедрения недокументированных возможностей (НДВ) или добавления механизмов блокировки работы данного ПО, одна из первых рекомендуемых мер со стороны регуляторов — отключить автоматические обновления.

Как следствие, со временем в ПО выявляются новые уязвимости, которые не устраняются путем установки обновления, и возникает риск компрометации. Вероятность, что она произойдет, может быть выше риска внедрения НДВ.

Таким образом, служба кибербезопасности (КБ) находится перед выбором: обновлять ПО с риском получить НДВ или принять риск эксплуатации уязвимости.

Алгоритм, представленный на схеме в простой форме, должен помочь сотруднику безопасности и подразделению КБ принять решение о необходимости обновления.

При работе с алгоритмом необходимо учитывать следующее:

• Алгоритм является рекомендацией, применение которой лежит в вашей зоне ответственности.
  
• Алгоритм не предусматривает граничные случаи, для которых рекомендуемое решение может отличаться. Поэтому применение алгоритма должно в обязательном порядке учитывать контекст организации.
  
• ПО перед обновлением в продуктивной среде должно быть проверено на корректную работоспособность в тестовой среде или тестовой выборке.
  
• Если возможно препятствовать эксплуатации уязвимости наложенными средствами защиты, не рекомендуется производить обновление.
  
• Если специалисты вашей или подрядной организации в состоянии проверить обновление ПО на наличие НДВ, то вам следует принимать решение по результатам собственного анализа, а не данной рекомендации.
  
• Не рекомендуется применять алгоритм принятия решения для обновления ПО, используемого в АСУ ТП.
  
• Алгоритм не рассчитан для применения к обновлениям ПО для мобильных ОС.

В бюллетене НКЦКИ представлен алгоритм, призванный упростить процесс принятия решения о необходимости установки обновлений ПО. Скачать бюллетень НКЦКИ в формате PDF.
Источник

dimitriy7 писал(а):

Неужели кто-то на серьёзных рабочих местах балуется АВТОобновлением??? Там даже и без вредительства могут быть (и порой случаются!) баги, способные надолго остановить рабочий процесс. Тем более если это проприетарщина, которую толком и не тестируют. На работе всегда действует принцип "работает -- не трогай!"

Не представляете сколько такой хрени встречал. И просто в гос.учреждениях, и у силовиков.
Помните в Истре побег был в том году?. Вот я там был. Ой что там было...

Raptor303 писал(а):

А вы пока улыбайтесь и смейтесь, потом вернемся сюда через 10-20 лет и посмотрим, кто будет смеяться

Скриньте, через десять лет не будет ожидаемых результатов. Вероятно будут поставки другими путями, а люди как были на проценте от поставок из других стран, так и будут. Чисто технически не успеют за десять лет сделать то, что хотят. Например, многие в Москве ждут, что к завершению года все помирятся и будет, как раньше Чисто теоретически, кто просто откажется от готового бизнеса: получать деньги на проценте от поставок из других стран, ничего не производя?
В следующем феврале предлагаю оценить, какие результаты будут.

Все что можно сделать это выгнать (конвертировать) базы данных в некий универсальный формат и ждать когда отечество подтянется с аналогом софта. "Работает и не трожь..." Вон у РОСОВИАЦИИ чо случилось. Помогли видать. Ну ясен пень разворовали и удалились, а бэкапа не было! Вот это поворот. Случайность ога...

Обновление. КАКОЕ ОБНОВЛЕНИЕ шизики сумасшедшие! Критичные базы надо от тырнета отрубать физически и обностить стеной.

Я все смотрел на эти госуслуги и фнсовские сервисы и думал, чего это они на иностранном ПО строят свое будущее?! Этож совать башку в петлю, не иначе! Ну ладно они, но я то причем?! Мне это не надо. Но меня никто не спросил. О референдуме по такому подходу (иностранное ПО для хранения персональных данных государством, не часниками) речи не шло.

Пока вещи своими именами не назовут с "героями", будем иметь отрицательный рост вплоть до каменного века.

adamchiks писал(а):

Обновление. КАКОЕ ОБНОВЛЕНИЕ шизики сумасшедшие! Критичные базы надо от тырнета отрубать физически и обностить стеной.

... во время моей службы в научроте у нас внутренняя сеть была физически изолирована от интернета, и более того, с матплат были выпаяны юсб-порты, чтобы нельзя было подключить к рабочим компам внешний носитель. Связь со "своими" в других городах -- 10-гигабитный канал через тарелку на крыше и собственный спутник (и это 15 лет назад!), связь с внешним миром -- через факс, принтер/сканер и UUE. И это военная геодезическая служба, которая секретной-то не считается. Там, где действительно что-то важное -- там даже не знаю, какие ещё меры безопасности действуют. Так что нормально всё