Mac OS X vs Windows: две стратегии безопасности

В спорах “Mac OS X против Windows” часто поднимается вопрос того, какая операционная система является более безопасной. И хотя именно этот вопрос мы сегодня обсуждать не будем (потому что такая тема неизменно приводит к очередному holy war), хочется отметить другой момент, безусловно влияющий на безопасность ПО, и ОС в частности.
А речь идет об обновлениях программного обеспечения, о тех апдейтах и патчах (в статье они именуются “заплатами”), которые компании выпускают для исправления проблем, обнаруженных в их ПО. В частности, Apple критикуют за то, что ее обновления редки, нерегулярны, непредсказуемы и политика касательно их совершенно непрозрачна. У Microsoft же, видимо, все наоборот — только патчей почему-то много. Собственно, статья именно о разнице в подходах к решению этой проблемы обновлений, и так ли важен именно подход?
———————
“Обновление программного обеспечения” — часто встречающееся выражение среди обычных компьютерных пользователей.
Но куда чаще “обновление” это “заплата” — изменение кода, разработанное для защиты от последних вирусов, червей и других угроз безопасности.

Инженеры Microsoft и Apple целыми днями занимаются созданием заплат. Действительно, второй вторник каждого месяца уже известен в технологических кругах, как “Заплатный вторник”. Именно тогда Microsoft выпускает свои последние обновления для своих операционных систем и приложений.
Apple выпускает заплаты по куда менее предсказуемому графику.
Должна ли Apple использовать более регулярный график по мере того, как ее платформа набирает популярность среди потребителей, или все же Заплатный Вторник больше относится к корпоративным пользователям — среда, в которой бизнес Apple пока что так значительно не вырос?
Или все же более гибкий, “когда-надо” подход — это более оптимальный подход, независимо от того, кто использует ОС?
График vs “Когда надо”
Системы дистрибуции разные, но результаты одинаково эффективны, говорит Майкл Черри (Michael Cherry), ведущий аналитик по Windows и мобильным устройствам в агенстве Directions on Microsoft.
“Я не уверен, что у одной системы есть преимущества перед другой”, сказал Черри. “Обе компании фактически предоставляют ПО, которое позволяет пользователям управлять тем, когда компьютеры проверяют наличие обновлений”.
Это все лишь вопрос разных подходов, говорит Черри.
“Я думаю, что Microsoft выбрала Заплатный Вторник (раз в месяц), потому что компания хотела показать, что она работает над улучшением восприятия касательно безопасности в ее продуктах, и позволить большим компаниям, которым надо координировать установку заплат на большом количестве Windows компьютеров”, добавляет Черри.
Нерегулярность обновлений Apple не означает, что компания менее озабочена вопросами безопасности, чем Microsoft, по словам Черри.
В случае с обновлениями Apple, длинные периоды затишья могут быть прерваны периодами, когда обновления идут буквально потоком. В сентябре, к примеру, компания “залатала” определенное количество потенциальных уязвимостей в iTunes, QuickTime проигрывателе, ПО Bonjour для Windows и в ПО для iPod touch.
Ранее в этом году Apple исправила другие проблемы в QuickTime.
[ad#intext-inside]
Ключевой момент в работе с угрозами безопасности — это адаптивность, говорит Черри.
“Время от времени, будут угрозы, которые появятся неожиданно, и потребуют немедленных действий. В другое время, будут проблемы, которые потребуют времени для анализа и ответных действий. Так что лучше всего для Microsoft и Apple не держаться за какой-то один подход, но постоянно анализировать ландшафт угроз”.
Потребности клиентов
Бдительность, а не регулярность — вот что имеет значение в борьбе с провалами в безопасности, говорит Роджер Кэй (Roger Kay), президент Endpoint Technologies Associates.
“Microsoft начала выпускать свои заплаты по вторникам, чтобы снизить количество отвлекающих факторов для IT менеджеров и конечных пользователей”, сказал Кэй. “У Apple меньше этих обновлений, и она просто их выпускает. Это не имеет особого значения с точки зрения безопаности, как это делается. Обе компании пытаются сохранять в тайне особенности обновления до момента их выпуска, чтобы минимизировать эксплуатацию уязвимостей. Соотношение взломов к уязвимостям очень низкое”.
У каждой компании свой подход, потому что у них отличаются базы пользователей, говорит Роб Эндерл (Rob Enderle), главный аналитик в Enderle Group http://www.EnderleGroup.com/.
“Microsoft сильно ориентируется на корпоративных заказчиков, которые не хотят сложностей и любят, когда все спланировано, потому что они могут выделить ресурсы,” сказал Эндерл в интервью. “Apple по-прежнему в основном поставляет компьютеры потребителям и небольшим бизнесам, которых это, похоже, не особо волнует — и они могут даже предпочесть получить заплаты раньше и быть защищенными, чем ждать регулярного обновления. Так что все дело в клиентах и их потребностях, которые и определяют процесс”.
Инструмент IT
Концепция Заплатного Вторника тоже хорошо ложиться на потребности IT, добавляет Эндерл.
“Если IT не считает, что они должны тестировать заплаты и проверять их вначале, они вполне могут предпочесть метод Apple”, говорит Эндерл. “Но если они не могут позволить себе риск из-за заплаты “положить” сеть компании, что и сомнительно, что Microsoft может себе позволить в ближайшем будущем перейти на метод Apple”.
“Никогда не говори никогда, все же, особенно в эру набирающего оборота cloud-вычислений”, отметил Эндерл. “Есть вероятность, что все может измениться. Настоящая причина для волнений IT заключается в том, что у них сейчас есть большой процент сторонних приложений, которые Microsoft не тестирует при заплатах, но эти приложения пойдут в cloud. Как только они почти полностью мигрируют, возможно, что это требование к заплатам исчезнет. Это займет какое-то время, все же — я думаю, не раньше 2020 года”.
Регулярный график обновлений Microsoft вполне имеет смысл для того, как действует компания, говорит Чарльз Кинг (Charles King), главный аналитик в агенстве Pund-IT.
“Я бы сказал, что самый важный вопрос, который надо осознавать — это насколько хорошо стратегии заплат двух компаний подходят их клиентам”, сказал в интервью Кинг. “Windows является целью атак хакеров уже много лет, поэтому я считаю, что регулярный выпуск обновлений по фиксированному графику усиливает акцент на том, что компания всерьез воспринимает вопросы безопасности и активно ими занимается”.
Корпоративные пользователи, в частности, выигрывают от концепций вроде Заплатного Вторника, говорит Кинг.
“Корпорации обычно более агрессивны в плане безопасности и стабильности своих ПК и ноутбуков”, указал он. “В частности, потому что у них есть куда больше чего бояться и терять от потенциальных проблем, чем у домашних пользователей. Но я думаю, что более широкий подход Microsoft к управлению безопасностью настольной Windows сформировался именно для того,
чтобы решать проблемы бизнес-пользователей”.
[ad#intext-inside]
Ограничения предсказуемости
Заплатный Вторник может быть предсказуем, но заплаты нет, и это ключ к снижению риска, что хакеры могут воспользоваться преимуществом своей системы планирования использования уязвимостей, отмечает Кинг.
“До тех пор, пока Microsoft не предупреждает о том, какие заплаты запланированы к выходу — ситуация, которая обычно происходит только если компания работает над серьезной, распространенной проблемой — я сомневаюсь, что хакеры получают большое преимущество благодаря запланированным выходам по вторникам”.
Действительно, Apple может обдумать возможность применения такого же подхода.
“Подход Apple выглядел разумным пока ее платформа практически игнорировалась хакерами, но я не думаю, что такая политика невмешательства сработает в период, когда Mac OS X набирает популярность на рынке и среди хакеров”.
Оригинал