ដំណើរការគ្រប់គ្រងបច្ចុប្បន្នភាព (Patch Management)

១. ព័ត៌មានទូទៅ

ក្រុមបច្ចេកទេសសន្តិសុខដែលទទួលខុសត្រូវលើការជួសជុលចំណុចខ្សោយត្រូវតែកំណត់អាទិភាពការងារឱ្យបានត្រឹមត្រូវ ដោយកំណត់ថាត្រូវធ្វើបច្ចុប្បន្នភាពចំណុចខ្សោយអ្វីមុនគេ មុនពេលជនទុច្ចរិតអាចទាញយកប្រយោជន៍ពីចំណុចខ្សោយទាំងនោះ។

ដំណើរការគ្រប់គ្រងបច្ចុប្បន្នភាពមានចំនួនប្រាំពីរជំហានសំខាន់ៗគឺ ការធ្វើសារពើភ័ណ្ឌទ្រព្យសម្បត្តិ (asset inventory), ការវាយតម្លៃចំណុចខ្សោយ (vulnerability assessment), ការកំណត់អាទិភាព (prioritization), ការធ្វើតេស្ត (testing), ការកំណត់ពេលវេលា (scheduling), ការដំឡើងបច្ចុប្បន្នភាព (deployment), និងការតាមដាន (monitoring)។

២. ដំណើរការ

២.១ ការធ្វើសារពើភ័ណ្ឌទ្រព្យសម្បត្តិ (Asset Inventory)

កម្មវិធីគ្រប់គ្រងបច្ចុប្បន្នភាពដែលទទួលបានជោគជ័យចាប់ផ្ដើមពីការធ្វើសារពើភ័ណ្ឌទ្រព្យសម្បត្តិទាំងអស់ដែលអាចប្រឈមមុខនឹងការគំរាមកំហែងនៅទូទាំងអង្គភាព។ សារពើភ័ណ្ឌនេះគួររួមបញ្ចូលកុំព្យូទ័រយួរដៃ ឧបករណ៍ចល័ត និងម៉ាស៊ីនបោះពុម្ព; រ៉ោតទ័រ (router) និងម៉ាស៊ីនមេ (server); ឧបករណ៍ អ៊ីនធឺណិតនៃវត្ថុ (IoT); មូលដ្ឋានទិន្នន័យ (database) នៅក្នុងបណ្ដាញផ្ទៃក្នុង និងលើពពក (cloud); ប្រព័ន្ធប្រតិបត្តិការ; និងកម្មវិធីភាគីទីបី (third-party applications) ជាដើម។

ទ្រព្យសម្បត្តិគួរត្រូវបានបែងចែកជាក្រុមតាមប្រព័ន្ធប្រតិបត្តិការ និងកម្រិតសំខាន់ ដើម្បីឱ្យការគ្រប់គ្រងបច្ចុប្បន្នភាពមានគោលដៅច្បាស់លាស់ និងប្រសិទ្ធភាពជាងមុន។ ទ្រព្យសម្បត្តិដែលបើកចំហទៅរកអ៊ីនធឺណិតមានហានិភ័យខ្ពស់ ហើយគួរត្រូវបានចាត់ទុកជាគោលដៅអាទិភាពក្នុងដំណើរការធ្វើបច្ចុប្បន្នភាព។

២.២ ការវាយតម្លៃចំណុចខ្សោយ (Vulnrability Assessment)

កម្មវិធីទាំងអស់សុទ្ធតែមានចំណុចខ្សោយ។ ក្រុមហ៊ុនធំៗដូចជា Microsoft, Apple, Adobe និងក្រុមហ៊ុនផ្សេងទៀត តែងតែចេញផ្សាយបច្ចុប្បន្នភាពជាប្រចាំ ដើម្បីដោះស្រាយចំណុចខ្សោយដែលត្រូវបានស្គាល់។ អង្គភាពគួរតាមដានសេចក្ដីណែនាំរបស់ក្រុមហ៊ុនផ្គត់ផ្គង់ ត្រួតពិនិត្យចំណុចខ្សោយដែលមិនទាន់បានជួសជុល និងប្រើប្រាស់ប្រព័ន្ធគ្រប់គ្រងចំណុចខ្សោយ ដើម្បីរកឱ្យឃើញចន្លោះប្រហោងតាមរយៈវិធីសាស្ត្រច្បាស់លាស់។

២.៣ ការកំណត់អាទិភាពបច្ចុប្បន្នភាព (Patch Prioritization)

ចំណុចខ្សោយទាំងអស់មិនមែនមានហានិភ័យស្មើគ្នា ហើយទ្រព្យសម្បត្តិទាំងអស់ក៏មិនប្រឈមមុខនឹងការគំរាមកំហែងដូចគ្នានោះដែរ។ ដោយសារបរិមាណចំណុចខ្សោយដែលស្គាល់មានច្រើនលើសលប់ ការជួសជុលចំណុចខ្សោយទាំងអស់ក្នុងពេលតែមួយមិនអាចធ្វើបានប្រកបដោយប្រសិទ្ធភាពឡើយ។ ការសម្រេចចិត្តកំណត់អាទិភាពជួសជុលគួរផ្ដោតលើកត្តាចំនួនបីដូចខាងក្រោម៖

• បរិបទអង្គភាព និងសារពើភ័ណ្ឌទ្រព្យសម្បត្តិ៖ មុខងារអាជីវកម្ម កម្រិតសំខាន់ និងកម្រិតប្រឈមមុខរបស់ទ្រព្យសម្បត្តិ គួរផ្ដល់ធាតុចូលសម្រាប់ការថ្លឹងថ្លែងភាពបន្ទាន់នៃការជួសជុល។
• ពិន្ទុ Common Vulnerability Scoring System (CVSS)៖ មានប្រយោជន៍ជាមូលដ្ឋានវាស់ស្ទង់ភាពធ្ងន់ធ្ងរ ប៉ុន្តែមិនគ្រប់គ្រាន់នៅពេលផ្អែកលើវាប្រើតែឯងទេ។ យោងតាម National Vulnerability Database ចំណុចខ្សោយជាងពីរភាគបី (៦០%) ត្រូវបានវាយតម្លៃថាមានភាពធ្ងន់ធ្ងរខ្ពស់ ឬធ្ងន់ធ្ងរបំផុត ដែលចំនួននេះស្មើនឹងជាងប្រាំពីរម៉ឺនចំណុចខ្សោយ។ ការប្រើ CVSS តែឯងនឹងធ្វើឱ្យការកំណត់អាទិភាពក្លាយជារឿងលំបាក។
• ពិន្ទុ Exploit Prediction Scoring System (EPSS)៖ ជាសូចនាករព្យាករណ៍ ដែលប៉ាន់ស្មានលទ្ធភាពដែលចំណុចខ្សោយណាមួយអាចនឹងត្រូវបានប្រើប្រាស់ (exploited) ក្នុងការវាយប្រហារជាក់ស្ដែង។ ដូច CVSS ដែរ EPSS គួរប្រើរួមជាមួយទិន្នន័យបញ្ចូលផ្សេងទៀត ជាជាងការប្រើជាតែឯង។

២.៤ ការធ្វើតេស្តបច្ចុប្បន្នភាព (Patch Testing)

កំណែបច្ចុប្បន្នភាពគួរយកមកពីក្រុមហ៊ុនផ្គត់ផ្គង់ដោយផ្ទាល់ ហើយគួរឆ្លងកាត់ការធ្វើតេស្តនៅក្នុងមជ្ឈដ្ឋានសាកល្បង (controlled environment) មុនពេលត្រូវបានដំឡើងក្នុងប្រព័ន្ធផ្ទាល់។ អង្គភាពគួរចងក្រងឯកសារអំពីទាំងដំណើរការតេស្ត និងលទ្ធផលរបស់វា ព្រមទាំងផ្ទៀងផ្ទាត់ពីរបៀបដែលឧបករណ៍ កំណែកម្មវិធី និងប្រព័ន្ធជារួមប្រែប្រួលដោយសារបច្ចុប្បន្នភាពនីមួយៗ។ ការធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធប្រតិបត្តិការ ឬកម្មវិធីអាចបណ្ដាលឱ្យប្រព័ន្ធដំណើរការយឺត មានភាពមិនត្រូវគ្នា ឬបង្កការផ្លាស់ប្ដូរដែលមិនបានគ្រោងទុកចំពោះការកំណត់រចនាសម្ព័ន្ធសន្តិសុខ (security configurations)។ អង្គភាពគួរមានត្រៀមគម្រោងវិលបក (rollback plan) ជាស្រេចមុនពេលចាប់ផ្ដើមធ្វើតេស្តបច្ចុប្បន្នភាព។

ទោះបីការតេស្តបន្ថែមពេលវេលាក្នុងវដ្ដបច្ចុប្បន្នភាព ក៏ប្រយោជន៍ទទួលបានមានសារៈសំខាន់ខ្លាំង៖

• ការពារការរំខាន៖ ការធ្វើតេស្តមុនដំឡើងលើប្រព័ន្ធពិតជួយកំណត់ឱ្យឃើញបញ្ហាដែលអាចប៉ះពាល់ដល់ប្រតិបត្តិការអាជីវកម្ម ដោយអនុញ្ញាតឱ្យក្រុមការងារធ្វើការកែតម្រូវចាំបាច់ មុនពេលប៉ះពាល់ដល់ប្រព័ន្ធ ដំណើរការមែនទែន។
• ធានាស្ថិរភាពហេដ្ឋារចនាសម្ព័ន្ធអាយធី៖ ការត្រួតពិនិត្យភាពស៊ីគ្នា (compatibility) ផ្ទៀងផ្ទាត់ថាតើបច្ចុប្បន្នភាពមានបញ្ហាជាមួយប្រព័ន្ធ ឬកម្មវិធីដែលមានស្រាប់ឬទេ ដើម្បីកាត់បន្ថយហានិភ័យនៃការដំណើរការយឺត ឬ ដាច់សេវាកម្មនៅក្នុងប្រព័ន្ធសំខាន់ៗ។
• ផ្ទៀងផ្ទាត់គុណភាពកំណែបច្ចុប្បន្នភាព៖ កំណែបច្ចុប្បន្នភាពជាកម្មវិធី ហើយកម្មវិធីអាចមានចំណុចខ្វះខាត។ ការតេស្តអាចបញ្ជាក់ថាកំណែថ្មីដោះស្រាយចំណុចខ្សោយ ដោយមិនបង្កកំហុសកម្មវិធីថ្មីបន្ថែម ឬចន្លោះប្រហោងសន្តិសុខណាមួយថ្មីផ្សេងទៀត។

២.៥ ការកំណត់ពេលវេលា (Scheduling)

ការដំឡើងកំណែបច្ចុប្បន្នភាពគួរត្រូវបានធ្វើឡើងក្នុងកំឡុងពេលដែលបង្កការរំខានតិចបំផុតដល់ការងារប្រចាំថ្ងៃ។ ក្រុមការងារគួរវិភាគលំនាំប្រតិបត្តិការដើម្បីស្វែងរកចន្លោះពេលដែលប្រព័ន្ធប្រើប្រាស់មានបន្ទុកស្រាលបំផុត។ ឧទាហរណ៍ អង្គភាពក្នុងវិស័យអប់រំអាចរកឃើញថាពេលល្ងាច ឬចុងសប្ដាហ៍ជាពេលស័ក្តិសមជាងគេ។ ការតាមដានលំនាំប្រើប្រាស់ប្រព័ន្ធជានិរន្តរ៍អាចជួយកំណត់ឱ្យឃើញចន្លោះពេលល្អបំផុត។

បុគ្គលិកគួរត្រូវបានជូនដំណឹងអំពីកាលវិភាគ និងហេតុផលនៃការដំឡើងបច្ចុប្បន្នភាពដើម្បីធានាការចូលរួម និងការយល់ដឹងគ្រប់គ្រាន់។ អង្គភាពដែលមានទំហំធំមធ្យមដល់ធំ គួរប្រើប្រាស់ប្រព័ន្ធគ្រប់គ្រងបច្ចុប្បន្នភាពស្វ័យប្រវត្តិ។ សេវាកម្មឈានមុខគេតែងមានផ្ដល់សមត្ថភាពកំណត់កាលវិភាគមានលក្ខណៈបត់បែន ដែលអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងការដាក់ឱ្យប្រើប្រាស់បច្ចុប្បន្នភាពថ្មីតាមតម្រូវការប្រតិបត្តិការ។

២.៦ ការដំឡើងបច្ចុប្បន្នភាព (Deployment)

អ្នកគ្រប់គ្រងអាយធីគួររៀបចំ deployment package ដែលជួនកាលហៅថា group policy object ដើម្បីបញ្ជូនបច្ចុប្បន្នភាពទៅកាន់ ឧបករណ៍គោលដៅ។ Package នេះជាទូទៅរួមមាន៖

• កំណែបច្ចុប្បន្នភាពដែលបានធ្វើតេស្តហើយ និង
• deployment script ដែលសរសេរដោយអ្នកគ្រប់គ្រងអាយធី ដែលបញ្ជាឧបករណ៍នីមួយៗឱ្យដំឡើងកំណែបច្ចុប្បន្នភាពថ្មី។

ប្រព័ន្ធគ្រប់គ្រងបច្ចុប្បន្នភាពស្វ័យប្រវត្តិជួយសម្រួលជំហាននេះបានច្រើន។ ក្នុងបរិស្ថានការងារចម្រុះ ដែលមានបុគ្គលិកខ្លះធ្វើការពីចម្ងាយ មុខងារដាក់ឱ្យប្រើប្រាស់បច្ចុប្បន្នភាពដោយសុវត្ថិភាពពីចម្ងាយ ជាមុខងារចាំបាច់។

ការដំឡើងបច្ចុប្បន្នភាពដោយដៃ ទាមទារឱ្យមានការសរសេរ scripts ឡើងវិញក្នុងគ្រប់វដ្ដដំឡើងបច្ចុប្បន្នភាព ហើយអាចត្រូវធ្វើបានដោយលក្ខណៈសមរម្យចំពោះឧបករណ៍ដែលស្ថិតនៅក្នុងការិយាល័យតែប៉ុណ្ណោះ។ ឧបករណ៍ដែលត្រូវបានប្រើប្រាស់ដោយបុគ្គលិកធ្វើការពីចម្ងាយ ឬស្ថិតក្នុងការឈប់សម្រាក មិនអាចទទួលការដំឡើងបច្ចុប្បន្នភាពទន្ទឹមពេលជាមួយគ្នាទេ ដែលអាចបន្សល់ទុកនូវចំណុចខ្សោយដែលគេស្គាល់ក្នុងរយៈពេលយូរ និងអាចផ្ដល់ឱកាសដល់ជនទុច្ចរិត។

២.៧ ការតាមដាន និងការរាយការណ៍

ជំហានចុងក្រោយក្នុងដំណើរការគ្រប់គ្រងបច្ចុប្បន្នភាព គឺការតាមដានលទ្ធផលក្រោយការដំឡើងបច្ចុប្បន្នភាព និងចងក្រងឯកសារទុក។ សំណួរសំខាន់ៗដែលគួរឆ្លើយត្រូវរួមមាន៖

• តើមានការបរាជ័យ ឬការវិលបក (rollback) កំណែបច្ចុប្បន្នភាពណាមួយទេ?
• តើការបរាជ័យ ឬការវិលបកកំណែបច្ចុប្បន្នភាពនេះបណ្ដាលមកពីហេតុផលចម្បងអ្វី?
• តើការបរាជ័យក្នុងការដំឡើងបច្ចុប្បន្នភាពនេះបង្កផលប៉ះពាល់ដូចម្ដេចដល់ប្រតិបត្តិការអង្គភាព?

នៅពេលមានការបរាជ័យ អ្នកគួរប្រតិបត្តិជំហានជួសជុល និងដំឡើងកំណែបច្ចុប្បន្នភាពសារជាថ្មីឱ្យបានភ្លាមៗ។ កំណត់ត្រានៃការដំឡើងបច្ចុប្បន្នភាព មិនថាជោគជ័យ ឬបរាជ័យ ជាព័ត៌មានមានតម្លៃសម្រាប់ការស្វែងរកបុព្វហេតុ (diagnosis) នាពេលអនាគត ហើយអាចត្រូវបានយោងក្នុងការឆ្លើយតបឧប្បត្តិហេតុ (incident response) និងរបាយការណ៍អនុលោមភាព (compliance reports)។

៣. ការគ្រប់គ្រងបច្ចុប្បន្នភាពដោយសាមញ្ញ និងមានប្រសិទ្ធភាព

ការដំឡើងបច្ចុប្បន្នភាពដោយដៃ ប្រើប្រាស់ធនធានច្រើន និងងាយប្រឈមនឹងបញ្ហា។

ក្នុងករណីមិនមានគោលការណ៍ច្បាស់លាស់ និងឬគោលការណ៍មិនត្រូវបានអនុវត្តដោយជាប់លាប់ ចន្លោះប្រហោងសំខាន់ៗអាចត្រូវបានមើលរំលង ដូចជាកម្មវិធី legacy ដែលមិនមានកំណែជួសជុល។ ក្រោមសម្ពាធពេលវេលា ក្រុមការងារអាចរំលងការតេស្ត ដែលអាចនាំឱ្យមានកំហុសកម្មវិធីថ្មីៗលេចឡើង ការថយចុះនូវប្រសិទ្ធភាពប្រព័ន្ធ ឬការបាត់ខ្ចាត់ទិន្នន័យ។

ការផ្ទៀងផ្ទាត់ក្រោយការដំឡើងបច្ចុប្បន្នភាពក៏មានសារៈសំខាន់ដែរ។ ការបរាជ័យក្នុងការដំឡើងបច្ចុប្បន្នភាពដែលមិនត្រូវបានរក​ឃើញ បណ្ដាលឱ្យប្រព័ន្ធប្រឈមមុខនឹងចំណុចខ្សោយ និងហានិភ័យសន្តិសុខ​។

ការធ្វើស្វ័យប្រវត្តិកម្មដំណើរការគ្រប់គ្រងបច្ចុប្បន្នភាពដោះស្រាយបញ្ហាប្រឈមទាំងនេះបានភាគច្រើន ដោយអនុញ្ញាតឱ្យដំណើរការដំឡើងបច្ចុប្បន្នភាពប្រព្រឹត្តទៅដោយជាប់លាប់ ទាន់ពេលវេលា និងមានតម្លាភាព​ (auditable) សម្រាប់គ្រប់ឧបករណ៍ក្នុងប្រព័ន្ធ។

៤. សេចក្ដីសន្និដ្ឋាន

នៅពេលអង្គភាពពង្រីកការប្រើប្រាស់កម្មវិធី ផ្ទៃវាយប្រហារ (attack surface) ក៏កើនឡើងផងដែរ ដែលបង្កឱ្យមានឱកាសសម្រាប់ការគំរាមកំហែងកាន់តែច្រើន និងបន្ថែមការងារលើក្រុមសន្តិសុខ។ ការជួសជុលទ្រព្យសម្បត្តិសំខាន់ៗទាំងអស់ ដើម្បីបិទចំណុចខ្សោយដែលមានភាពធ្ងន់ធ្ងរខ្ពស់ អាចត្រូវធ្វើបានប្រកបដោយប្រសិទ្ធភាព ប្រសិនបើមានដំណើរការត្រឹមត្រូវ។

៥. ឯកសារពាក់ព័ន្ធ

• https://heimdalsecurity.com/blog/patch-management-process/