2024-02-14 系統更新的平衡點
不論企業使用的伺服器和客戶端是使用何種作業系統,定期更新補丁是必不可少的。
這道理仿如真理,因為世界上還沒有一個作業系統是完全沒有漏洞的,只要有漏洞被發現,就要推出補丁,作為使用者的角色就得決定是否安裝。
筆者曾經和一些決策層交談,他們未必是IT業者,但也懂得補丁要越快更新越好。但其實這觀點並不能算100%正確。
誠然,漏洞被發現了才會推出修正的方法,但是因為過往很多次的經驗告訴IT人,太急安裝補丁可能會引致其他未知問題出現,甚至引發更嚴重的問題。
記得2022年就有一個補丁可能是推出得太急,安裝後反而會令客戶端的系統無法再連上LDAP做登入驗證的問題。如果只是十多人的公司也就算了,還可以人手方式每台做還原。如果是大規模的上千人用戶的大企業,更新太快絕對是一場災難級的後果。
在銀行客戶裡,很多都會有不成文的T-1(個月)或者T-2(個月)的做法。就是說更新補丁一概延遲一個月或兩個月才安裝。除非是一些很緊急的,不然並不會直接插隊做更新。延遲安裝的原因,是希望看看業界1-2個月裡有沒有發現補丁有其他問題。不幸地,這種情況並不稀見就是了。
而筆者也會提議機構在不同的作業系統至少留一台做試機,一如很多農場那樣為畜牧打預防針外也會留一些不打預防針的。我們會以一台試機作為安裝更新的測試後果,以決定會否帶來其他潛在影響。
尤其是企業有使用很多不同的度身訂製系統,如ERP、HRM那類型,一個補丁的更新可能也會影響到系統的功能。
過往筆者也替客戶設過一些編排更新的方案,令客戶的伺服器和各部門的客戶端,從不同時間得到更新。這方法有效避免公司同一時間大規模要求IT Support,又能減低因更新補丁有誤而造成全公司的生產力同時下降。一向的原則是最重要的伺服器和高層放在最後。
在延遲更新的方法裡,筆者覺得T+1是最理想,T+2已經是最低可接受範圍。筆者見過因為5個月偷懶的IT人錯過了電郵伺服器的更新,結果漏洞被駭客利用。不單止使用他們的電郵伺服器發出更多spam,更盜走了很多電郵交談的內容,從而在往後的1-2年時間不斷出現建基於這些電郵來容上繼續杜撰的phishing email以希望瞞騙分公司和供應商等等。一次失誤,影響是可以很深遠的。
