Введение
Патч-менеджмент – это формализованный процесс управления обновлениями безопасности для программного обеспечения и операционных систем. Патч (patch) – исправление, устраняющее конкретную уязвимость или ошибку. Своевременный патчинг является одной из наиболее эффективных мер снижения поверхности атаки: по статистике, большинство успешных атак эксплуатируют уязвимости, для которых патч уже доступен месяцы или даже годы.
Патч-менеджмент обязателен в требованиях PCI DSS (Requirement 6), ГОСТ Р 57580.1, ISO 27001 (A.12.6), а также в Приказах ФСТЭК №17, №21, №239.
История и контекст
Необходимость формализованного патч-менеджмента осознали после эпидемий червей: CodeRed (2001), SQL Slammer (2003), Conficker (2008), WannaCry (2017). WannaCry использовал уязвимость MS17-010 (EternalBlue), для которой Microsoft выпустила патч MS17-010 за два месяца до эпидемии – большинство жертв просто не установили его. Это наглядно показало: патч-менеджмент важнее наличия самого патча.
Процесс патч-менеджмента
- Инвентаризация – реестр всего ПО, версий и конфигураций (CMDB/CMDB).
- Обнаружение – мониторинг новых CVE и патчей (NVD, БДУ ФСТЭК, бюллетени вендоров).
- Приоритизация – ранжирование по CVSS, EPSS, экспонированности актива.
- Тестирование – применение патча в тестовой среде для проверки совместимости.
- Развёртывание – плановое применение в продуктивной среде (maintenance window).
- Верификация – повторное сканирование для подтверждения устранения уязвимости.
Где применяется
- Корпоративная Windows-инфраструктура: WSUS, Microsoft SCCM/MECM, Ivanti Patch.
- Linux-серверы: apt/yum/dnf, Ansible Playbook для автоматизации.
- Российские ИС: MaxPatrol VM (Positive Technologies) с поддержкой БДУ ФСТЭК.
- OT/SCADA: с особыми требованиями к доступности (длинные циклы обслуживания).
Преимущества и ограничения
Снижение поверхности атаки; соответствие регуляторным требованиям. Ограничения: патч может сломать совместимость (особенно в промышленных системах); окно уязвимости между выходом патча и его установкой; legacy-системы без поддержки вендора (EOL) требуют компенсирующих мер.
Связь с другими понятиями
Патч-менеджмент закрывает уязвимости, найденные через CVE и оцененные по CVSS. Инструментально связан с Vulnerability Scan. Дополняется Hardening (конфигурационная защита) и Baseline (эталонная конфигурация).