Вышло обновление безопасности для Exchange. Критическая уязвимость, эксплуатация в реальной жизни, описание от CVE такое, что волосы встают дыбом. А что у нас? Традиционное: “Да у нас всё работает. Не будем трогать — ещё сломается”. И ведь эти слова звучат не только от ленивых админов, а и от вполне опытных ребят, которые просто привыкли жить по принципу “не трогай то, что работает”.
Проблема в том, что “работает” сегодня — не значит “будет работать завтра”. Особенно когда где-то в тёмных уголках интернета уже крутятся готовые эксплойты. И да, именно для вашей версии Exchange. Но реальность такова, что в большинстве компаний патчи ставятся только тогда, когда уже что-то загорелось. Страх поломать, лень, забитый план задач и любимое “мы же за фаерволом, нас это не касается” делают своё дело. Итог? Месяцами висит дыра, через которую можно устроить такой корпоратив с участием хакеров, что забудете, где хранили бэкапы.
Чем дольше я смотрю на эту картину, тем больше убеждаюсь: в документах по защите информации и в списках ответственных за ИСПДн или важные системы нужно указывать не только отдел информационной безопасности, но и руководителей ИТ-подразделений вместе с конкретными администраторами. Когда ответственность размыта — обновления будут ждать совпадения звёзд. Когда она закреплена за конкретным человеком — время и желание находятся.
Уязвимость — это не просто ошибка в коде, а лакмус зрелости ИТ-службы. Если аргумент “мы не ставим обновления, потому что всё работает” кажется вам логичным, значит, пора задуматься: а не работают ли уже ваши сервера на кого-то другого. Патчи — это не боль, это профилактика вашей инфраструктуры.
Добавить комментарий