Doporučení analytika Gartner: slabiny Meltdown a Spectre
jak jste se v předchozích dnech nejspíš dozvěděli z médií, výzkumníci z Google a akademické sféry zveřejnili těsně po novém roce kritické bezpečnostní slabiny (nazvané Meltdown a Spectre) v procesorech Intel (a v menší míře též AMD a ARM). Poprosili jsme analytika Gartneru Nika Simpsona, viceprezidenta pro infrastrukturní oblast, aby pro čtenáře INSIDE a klienty Gartneru shrnul hlavní dopady a doporučení pro IT organizace a podnikové uživatele. Zkrácenou verzi jeho odpovědí naleznete níže.
Máte-li zájem o plné znění doporučení Nika Simspona, obraťte se na nás, rádi vám jej zašleme v češtině i angličtině.
Přehled klíčových informací o Meltdown a Spectre již dříve publikovala naše informační služba INSIDE, můžete si jej přečíst online.
Jaký dopad budou mít Meltdown a Spectre na podnikové uživatele a jejich infrastrukturu a jak ovlivní poskytovatele cloudových služeb?
V případě IT organizací provozujících vlastní datová centra (případně využívající kolokaci) jsou rizika menší zejména díky tomu, že mají lepší kontrolu nad tím, jaký software je na jejich serverech provozován, kdo spouští VM nebo instaluje softwarové balíčky v jejich prostředí – rizika spojená s malware který může zneužít Meltdown/Spectre jsou tak výrazně nižší – neznamená to ale, že by neexistovala. Tyto organizace by proto měly usilovat o získání a instalaci záplat pro operační systémy a platformy hypervisorů které provozují. Nejsou-li si jisti, zda je jejich platforma zranitelná, měly by se obrátit na své dodavatele a zjistit, jaké kroky doporučují učinit.
V případě výpočetních systémů provozovaných v cloudu půjde o podobné problémy, s několika hlavními rozdíly:
- V případě že virtuální stroj (VM) neběží na hostitelskému vyhrazeném pro vaší organizaci, je riziko nezáplatovaného systému vyšší, neboť nelze mít kontrolu nad tím, jaké pracovní zátěže sdílí stejný hardware.
- Nemáte kontrolu nad hypervisorem, aplikace záplat je na bedrech poskytovatele cloudových služeb. V současné době již největší globální poskytovatelé aktualizovali svou infrastrukturu (tedy AWS, Microsoft, Google), jestliže ale používáte menšího lokálního poskytovatele IaaS, ujistěte se, že své systémy včas aktualizuje.
Vedle záplat, které musí na hostitelské systémy nainstalovat cloudový poskytovatel je stále na vaší IT organizaci, aby zajistila instalaci záplat u všech instance OS, stejně jako ve vlastním datovém centru.
Jaká bezprostřední opatření byste doporučil pro oblasti:
Podnikoví uživatelé a koncové body
- Všechny koncové body (PC, laptopy, mobilní zařízení) budou vyžadovat záplaty operačních systémů a patrně i aktualizace prohlížečů. Tyto systémy jsou zranitelnější než server, protože je u nich větší šance, že se dostanou do kontaktu s malware.
- Zásadním problémem mohou být záplaty pro staré operační systémy. Například není jasné, zda Microsoft nabídne záplatu pro Windows XP, nebo jak staré verze iOS a Adroidu budou opraveny.
Lídři IT a I&O v uživatelských organizacích
- Ujistěte se, že všechny hypervisory a operační systémy jichž se slabiny mohou týkat jsou aktualizovány.
- Máte-li systémy, které z nějakého důvodu nelze aktualizovat, pak byste je měli v maximální možné míře uzamknout či izolovat.
- Zvažte rozsáhlejší aktualizace či výměny koncových bodů, které nejsou výrobcem OS již podporovány.
Lídři IT a I&O na dodavatelské straně (poskytovatelé cloudových služeb)
- Sledujte celkový výkon a vytíženost zdrojů – možná bude třeba nasadit další servery dříve, než bylo původně plánováno.
- Zvažte zavedení pravidel a politik vůči zákazníkům, kteří provozují nezáplatované operační systémy – jsou potenciálním bezpečnostním rizikem pro všechny ostatní zákazníky ve vašem cloudu.
Máte-li zájem o plné znění doporučení Nika Simspona, obraťte se na nás, rádi vám jej zašleme v češtině i angličtině.