Průmyslové testování a nasazování updatů

Průmyslové testování a nasazování updatů
« kdy: 21. 12. 2018, 09:12:28 »
Ahoj, chtěl bych se zeptat zkušenějších na to, jak se testují a nasazují updaty v průmyslu a velkých korporátech.

Běžné je, že velké společnosti nasazují updaty (např. RHEL) až po interním otestování a odsouhlasení. Ok. Jak to ale v praxi funguje? Já tak nějak pouze tuším, že se prostě vezmou nové updaty a nasadí se na testovacím prostředí, pokud je vše ok, tak se nasadí do produkce.

Je ještě nějaká další procedura? Vyjadřuje se k tomu nějak kyberbezpečnost? Může mi někdo ten proces vysvětlit od A do Z?

Děkuji


M.

Re:Průmyslové testování a nasazování updatů
« Odpověď #1 kdy: 21. 12. 2018, 09:54:19 »
Bude velmi záležet na tom, o jaký obor jde, co je případně řízeno nějakou legislativou, vnitřníma předpisy, požadavky dodavatelů aplikačního SW a jejich záručních certifikacích (kdy řada dodává seznam povolených patchů pro OS nebo přímo vydává vlastní modifikované patche proti dodavateli OS) atd a pak to budu narážet na ekonomickou stránku věci. :-)
A o velkou setrvačnost... Pískám si, provozujejme systémy na bázi RHEL4 (a lehce se prověřuje něco novějšího), snad se zbavíme příští rok věcí na bázi RedHat 7.3 a Windows 2000. Věci zahrabaných ještě hlouběji v technologii na hodně obskurnějších technologích ani nepočítám.
Kolega objíždí  plynaře a udržuje systémy na bázi WindowsNT 4.0 (stále tisícovka nasazení jen v Česku). :-)
A na řau věcí se vůbec nesahá (klidně 15 let v provozu bez zásahu do SW/HW v nějakém legacy polo-izolovoaném prostředí).
Kyberbezpečnost se do toho snaží v poslední doba hrabat, ale je to zajimavý střet reality s ideály, který si musí pak zákazník rozhodnout sám a dodavatel vyhovět...
Vysvětlit od A do Z... Když se podívám, že příslušná směrnice zakazníkova kyberoddělení má asi 700 stránek vlastního holého textu (a zhusta odkazuje na další dokumenty v rozsahu asi 3 plných DVD) a checklist postupu/procesu aktualizace asi 370 položek, tak to by bylo na dlouho. :-(

kkt1

  • *****
  • 796
    • Zobrazit profil
Re:Průmyslové testování a nasazování updatů
« Odpověď #2 kdy: 21. 12. 2018, 10:33:56 »
Ja to vidim z pohledu jednoho projektu pro jeden stat v EU. Prumyslove reseni, vlastni DC vybudovane jenom pro tohle reseni. Bezi tam stare Win, nezaplatuje se to. Vsichni zijou v naivni predstave, ze se tam nikdo nemuze nabourat. Pocitace s internetem maji samozrejme z office site pristup i k tem nezaplatovanym strojum. :D

nejmenovani

Re:Průmyslové testování a nasazování updatů
« Odpověď #3 kdy: 21. 12. 2018, 21:50:49 »
updaty v průmyslu

máš druhý, menší systém, který ale obsahuje stejné komponenty jako ten produkční, takže v malém zreplikujes všechny  ok, kecám, takže většinu největších problémů.

* nasadíš updaty
* sjedeš aplikační mix
* koukneš na performance a validitu
* pustíš/nepustíš na velký systém

kyberbezpečnost
s výrazem "kyberbezpečnost" jsem se ještě v praxi nesetkal.
Zní mi to asi jako "digitální video disk", nebo nechvalně známý "SŘBD".

Tudíž, je to nějaká semestrálka? :)

nejmenovani

Re:Průmyslové testování a nasazování updatů
« Odpověď #4 kdy: 21. 12. 2018, 22:03:14 »
Je ještě nějaká další procedura?
Někdy taky řešíš dostupnost v kontextu SLA a možnost výpadku..

Update takového openSSL je hned, ale reboot serverů kvůli kernelu většinou zvažuješ celkem dopředu, speciálně, pokud existuje požadavek na konzistenci prostředí, a těch strojů jsou tisíce.

Tzn. pak se rozhoduje, jestli bezpečnostní přínos je tak vysoký, abys kvůli tomu ty stroje rebootoval.

Kdyžtak napiš co konkrétně řešíš, tohle je hodně široká problematika.


jouda

Re:Průmyslové testování a nasazování updatů
« Odpověď #5 kdy: 22. 12. 2018, 00:26:52 »
...Pocitace s internetem maji samozrejme z office site pristup i k tem nezaplatovanym strojum. :D
Tak i tohle je řešitelné, třeba taková předsunutá F5ka se správně nastaveným ASM tohle hrave zvládne a jistě jsou mraky dalších použitelných WAF.
I když se bojím, že se nejedná o zmiňovaný případ ;-)

Industry 4.0

Re:Průmyslové testování a nasazování updatů
« Odpověď #6 kdy: 22. 12. 2018, 00:37:25 »
Ahoj, chtěl bych se zeptat zkušenějších na to, jak se testují a nasazují updaty v průmyslu

Bavime se ciste o tom prumyslu = 2-3 mesice beta test u par zakazniku a pak to jde dal. Pokud se ti to nezda, tak specifikuj, co rozumis pod pojmem prumysl, protoze budes zcela pravdepodobne mimo co to znamena.

grum

Re:Průmyslové testování a nasazování updatů
« Odpověď #7 kdy: 22. 12. 2018, 03:30:33 »
ad priemysel: je rozdiel ci sa ti update poondi tlaciaren ciarovych stitkov, zastavi vysoku pec alebo odstavi rafineriu

kkt1

  • *****
  • 796
    • Zobrazit profil
Re:Průmyslové testování a nasazování updatů
« Odpověď #8 kdy: 22. 12. 2018, 05:48:52 »
...Pocitace s internetem maji samozrejme z office site pristup i k tem nezaplatovanym strojum. :D
Tak i tohle je řešitelné, třeba taková předsunutá F5ka se správně nastaveným ASM tohle hrave zvládne a jistě jsou mraky dalších použitelných WAF.
I když se bojím, že se nejedná o zmiňovaný případ ;-)
Asi vime jak by to melo byt, ale situace je proste jina...  ;D

Re:Průmyslové testování a nasazování updatů
« Odpověď #9 kdy: 22. 12. 2018, 09:40:57 »
Hele připarazitním se k dotazu.

Má někdo tu někdo zkušenost s Enterprise  Pappetem?


M.

Re:Průmyslové testování a nasazování updatů
« Odpověď #10 kdy: 23. 12. 2018, 10:44:39 »
Ja to vidim z pohledu jednoho projektu pro jeden stat v EU. Prumyslove reseni, vlastni DC vybudovane jenom pro tohle reseni. Bezi tam stare Win, nezaplatuje se to. Vsichni zijou v naivni predstave, ze se tam nikdo nemuze nabourat. Pocitace s internetem maji samozrejme z office site pristup i k tem nezaplatovanym strojum. :D

Tohle vidím jako problém. Jde o to, že řada systémů byla historicky provozována v ostrovních režimech, takže zvenčí hrozil jen uživatel, co tam přišel a něco udělal/zaviroval. Ale dneska je tlak mít to propojeno a dostupné data i pro managmeent online atd a začíná průser, protože tyto staré systémy s něčím takovým nepočítají (a i řada dodavatelů aktuálních SCADA systémů dneska se stále tváří, že se jich to netýká) a často je trochu problém jak to udělat správně a ne všude jsou ochotni dělat fyzikálně jednosměrné komunikační kanály.
A pokud se mi do toho začne cpát oddělení kybernetické bezpečnosti, že i ty ostrovy musím nějak řešit, s tím souhlasím, protože nejvíce virů pohormadě jsem potkal na takovém ostrovním systému za trojitou betonovou zdí v prostoru s přístupem jen zcela minimálního počtu lidí, na  W2K/XP stanicích, kam to natahala ta obsluha přes USB flashky (jakýsi řídící sysytém chlazení jaderné elektrárny v Rusku, naštěstí vlastní řídící část byl cluster EC alpha serverů a wokna byla jen doplňkový terminál)...
A teď zkuste dostat dneska na takovýto izolovaný systém třeba antivir a řešit jeho aktualizace - včera večer jsem se chlámal v hospodě, jak kámoš tento požadavek řešil, že Avast jim odkýval, že vše umí fungovat a off line režimu, instalace, provoz, aktualizace, ale ouha, jenom to nejde spustit bez online registrace a nějak nechápali, že ten server a stanici fakt k Interneut připojit nemůže ani na tu chvíli, že s něčím takovým už teď nepočítají, předchozí edice to ještě uměla. Chlámal jsme se proto, že kolega řešil to stejné pro Eset, a to je u méně izolovaného systému, kde je kaskáda několia na sebe navázaných ESET ERA a proxin (první je v technologii, s kteoru se baví lokální krámy, druhá je nějaké DMZ mezi technologíí a kancelářským světem a třetí mezi kacnly a inetem). Opět funguje vše skoro skvěle, až na pár maličkostí, které vyžadují, aby ty koncové stanice a poslední ERA server občas uviděly přímo ven k ESETu. Také se u ESETu divili, že to tak nefunguje. :-(
A pak nastoupí oddělení kybernetické bezpečnosti s tím, že do těch technologických provozů nacpou něco na kontorlu provozu a první chcíply tyto bedny. Inu, výrobce nepočítal, že by chtěl někdo provozovat jejich krabičky v "normálním průmyslovém prostředí", kde i vojáci ze zkušebny z Vyškova na otázku ohledně EMC vyzařování/odolnosti nějakého systému nemohli odpovědět, protože el.mag. smog a teplota v daném prostředí jim rozhodil měřící techniku (2/3 roku je tam +50°C). A buďte rádi, že to chcíplo tak rychle a tiše, tak to rychle odneste, s oddělením zodpovědné za provoz se podělte o smluvní pokusu 2 MKč/hodina výpadku a my pomlčíme, že ta krabice měla mít i papír na ATEX. A to těm klukům zabralo hodně času, než těma bednama zvládli aspoň sledovat a reálně si uvědomovat, co se děje uvnitř Modbus/TCP protokolu nebo podobné ASCII protokoly tunelované přes TCP. Při představě, že by se měli zabývát vážně něčím jako OPC, OPC-UA, IEC61850,... jen krabatili čelo. Řešitelné nasazením vhodných SW sond do těch systémů, ale to je velice rychle uklidní dodavatel řídícího SW, že v tom okamžiku za něj končí jakékoliv záruky a pokud na tom trvají, tak prvně si provede svoje ověření ve své laboratoři ve Switzerland, což bude tak rok trvat a zaplatí pár XX MKč. :-)

xhamsterr

Re:Průmyslové testování a nasazování updatů
« Odpověď #11 kdy: 23. 12. 2018, 11:41:16 »
Ahoj, chtěl bych se zeptat zkušenějších na to, jak se testují a nasazují updaty v průmyslu a velkých korporátech.

...  Vyjadřuje se k tomu nějak kyberbezpečnost? Může mi někdo ten proces vysvětlit od A do Z?
Vysvetlit kompletne procesy v korporatu  ... no myslim ze ani od Y do Z ty trubko.

xhamsterr

Re:Průmyslové testování a nasazování updatů
« Odpověď #12 kdy: 23. 12. 2018, 11:42:54 »
Ja to vidim z pohledu jednoho projektu pro jeden stat v EU. Prumyslove reseni, vlastni DC vybudovane jenom pro tohle reseni. Bezi tam stare Win, nezaplatuje se to. Vsichni zijou v naivni predstave, ze se tam nikdo nemuze nabourat. Pocitace s internetem maji samozrejme z office site pristup i k tem nezaplatovanym strojum. :D
Ono resit bezpecnost os je v podstate nemozne. Bezlecnostni certifikace stoji miliony dolaru a delaji je nejvetsi odbornici sveta. Tezko se najde firma co to po nich bude kontrolovat .... .

xhamsterr

Re:Průmyslové testování a nasazování updatů
« Odpověď #13 kdy: 23. 12. 2018, 13:23:01 »
Hele připarazitním se k dotazu.

Má někdo tu někdo zkušenost s Enterprise  Pappetem?
Ja ano. Co te konkretne zajima?

Unknown

Re:Průmyslové testování a nasazování updatů
« Odpověď #14 kdy: 24. 12. 2018, 14:15:58 »
s výrazem "kyberbezpečnost" jsem se ještě v praxi nesetkal.
Zní mi to asi jako "digitální video disk", nebo nechvalně známý "SŘBD".

Tudíž, je to nějaká semestrálka? :)

https://www.google.com/search?q=kyberbezpe%C4%8Dnost

> 100 000 vysledku. To skoro vypada jako bezne pouzivane slovo....