Les équipes TI des universités gèrent de grandes flottes d'appareils appartenant à l'université ou inscrits à l'université. Même avec des outils de gestion en place, le travail de vulnérabilité s'effondre toujours aux mêmes endroits : visibilité incomplète des logiciels, gestion incohérente des correctifs tiers et vérification faible lorsque les appareils sont à distance ou que les fenêtres de maintenance sont serrées.
Ce guide présente un flux de travail de gestion des vulnérabilités opérationnelles pour les terminaux du campus gérés, puis montre comment Splashtop AEM peut aider les équipes à standardiser le correctif, la vérification et le reporting entre les départements.
Qu'est-ce qui rend la gestion des vulnérabilités difficile pour les points de terminaison appartenant à l'université ?
La gestion des vulnérabilités à travers les universités peut être un défi pour plusieurs raisons, et le nombre impressionnant d'appareils n'est que le début. Les universités ont souvent des équipes TI décentralisées qui doivent gérer les appareils à travers des postes de travail partagés, des salles de classe et des laboratoires, tandis que les différents départements maintiennent leurs propres configurations logicielles. Cela comprend :
Ordinateurs portables du corps enseignant et du personnel.
Points de terminaison gérés par le département avec des normes partagées.
Laboratoires informatiques et postes de travail partagés.
Points de terminaison distants ou hybrides qui ne se connectent pas régulièrement sur le campus.
En plus de cela, les équipes TI ont souvent des fenêtres de maintenance limitées avant que les terminaux ne soient à nouveau nécessaires. Ils doivent constamment identifier, prioriser, corriger et vérifier les vulnérabilités sur les appareils d'extrémité, les systèmes d'exploitation et les applications, le tout sans interrompre les étudiants ou le personnel enseignant.
Que doit suivre l'IT universitaire pour établir une base de vulnérabilité ?
Aussi difficile que puisse être la gestion des vulnérabilités dans une université, c'est un défi que les équipes TI peuvent surmonter avec un peu de préparation et les bons outils. Cela prendra quelques étapes, mais tout commence par savoir quoi suivre.
Construisez un inventaire qui soutient l'action
Tout d'abord, vous devez créer un inventaire, non seulement de vos appareils, mais de tout ce qui s'y trouve, de leurs états de correctifs et plus encore. Cet inventaire devient la source de vérité pour la hiérarchisation des vulnérabilités, le ciblage des correctifs et la vérification. Si votre inventaire est obsolète, votre rapport de correctif le sera aussi.
Votre inventaire doit suivre :
Groupe de propriétaires de l'appareil (par exemple, personnel, faculté, laboratoire ou kiosque) et le département auquel il appartient.
Version actuelle du système d'exploitation et canal de mise à jour.
Inventaire des logiciels installés, y compris les données de version.
Dernière connexion et signal de connectivité.
Indicateurs de statut ou de privilège administrateur local (si disponibles).
Le groupe de déploiement ou l'anneau de correctifs auquel l'appareil est assigné lors des déploiements de correctifs.
Identifiez d'abord les catégories de logiciels à risque élevé
La priorisation des risques est également essentielle, donc votre inventaire doit inclure des informations sur les logiciels à plus haut risque. Ceux-ci devraient être priorisés en fonction du potentiel de dommage, des vulnérabilités existantes et de la criticité pour les opérations quotidiennes, les risques les plus graves recevant le plus d'attention lors de la gestion des vulnérabilités.
Les catégories de logiciels incluent les navigateurs, les lecteurs de documents, les suites de productivité, les outils de collaboration et de conférence à distance, les pilotes de périphérique, et plus encore. Chaque université aura des besoins et des priorités distincts, il appartient donc aux équipes individuelles de déterminer quelles catégories prioriser.
Comment le département TI de l'université devrait-il prioriser les vulnérabilités sur les points de terminaison et les applications ?
Bien sûr, prioriser les menaces est plus facile à dire qu'à faire. Il est également essentiel si vous souhaitez une réduction mesurable des risques sans être submergé par le volume. Une manière pratique de rester cohérent est de regrouper les vulnérabilités selon la rapidité avec laquelle elles nécessitent une intervention :
Corrigez immédiatement : Vulnérabilités exploitées activement ou problèmes de gravité critique sur des logiciels largement déployés.
Correctif cette semaine : Vulnérabilités de gravité critique qui sont très répandues, ou problèmes dans des catégories d'applications à fort impact telles que les navigateurs et les clients VPN.
Cycle de patch : Vulnérabilités de sévérité modérée avec une large présence et un faible risque de déploiement.
Programme : Vulnérabilités de faible gravité, faible prévalence, ou problèmes avec des dépendances nécessitant une maintenance planifiée.
Il y aura des moments où plusieurs vulnérabilités auront une grande priorité. Dans ces cas-là, quand tout semble urgent, considérez ces facteurs pour départager :
Exposition : Considérez les actifs à risque et la mesure dans laquelle ils pourraient exposer un attaquant, tels que les chemins à privilèges élevés. Plus il y a en jeu, plus la priorité doit être élevée.
Criticité des actifs : Tous les actifs ne sont pas aussi critiques. Considérez les actifs à risque, comme les équipes des systèmes administratifs, les laboratoires de recherche et les terminaux liés aux services des inscriptions, et décidez lesquels vous souhaitez protéger en priorité.
Prévalence : Combien de points de terminaison sont affectés ? Concentrez vos priorités sur les vulnérabilités qui affecteront le plus de systèmes.
Risque de fiabilité du correctif : Certains correctifs posent des problèmes, notamment des échecs d'installation connus ou des problèmes de compatibilité avec les applications. Dans ces cas, il est acceptable de les placer en bas de vos priorités élevées afin de pouvoir vous concentrer d'abord sur des mises à jour de sécurité plus fiables.
À l'échelle universitaire, ce flux de travail échoue souvent lorsque les équipes ne peuvent pas voir les versions des logiciels, automatiser le patching de tiers ou vérifier la remédiation par département et par anneau.
Quel flux de déploiement de correctifs fonctionne le mieux pour les équipes TI universitaires ?
Une fois que vous avez identifié vos priorités, comment pouvez-vous déployer de manière fiable les mises à jour des correctifs dans toutes les universités ? Les équipes TI peuvent prendre quelques mesures pour garantir un déploiement de correctifs sécurisé et fiable qui maintient les terminaux à jour sans interruption et dans un délai défini.
Utilisez un modèle de déploiement en anneau pour réduire les perturbations
Lors du déploiement de correctifs, essayer de mettre à jour tous les appareils en même temps peut être perturbant et risqué. Au lieu de cela, utilisez un modèle de déploiement en anneaux, en commençant par quelques appareils, puis en l'étendant à des groupes plus importants à chaque déploiement réussi. Cela permet le déploiement des mises à jour sans perturber les laboratoires, la recherche ou les horaires d'enseignement, tout en s'assurant que chaque correctif est installé avec succès.
Le déploiement de Ring dans les universités ressemble généralement à ceci :
Anneau Pilote: Commencez avec un ensemble de dispositifs de test détenus par le service TI et un petit groupe de professeurs ou de personnel pour vous assurer que le déploiement initial fonctionne correctement.
Sonneries de département: Ensuite, étendez le déploiement à un ou deux départements représentatifs et à un sous-ensemble de laboratoires.
Sonnerie sur le campus: Après les sonneries de département, vous pouvez initier un déploiement général sur tous les points de terminaison gérés, sauf pour certains appareils.
Exception Ring: Certains appareils peuvent nécessiter un traitement spécial, comme ceux avec des applications héritées ou des contraintes de recherche. Cela devrait être gardé pour la fin, et seulement s'ils peuvent être mis à jour. Sinon, d'autres mesures de cybersécurité et d'atténuation des risques peuvent être nécessaires.
Standardiser la mise à jour de l'OS et des applications tierces en un seul programme
Le correctif du système d'exploitation est nécessaire, mais il réduit rarement l'exposition complète sur les points de terminaison universitaires. Si les applications tierces ne sont pas mises à jour avec la même rigueur, les catégories de logiciels à haut risque peuvent rester vulnérables même lorsque les systèmes d'exploitation sont actuels.
Assurez-vous de trouver une solution de patch qui a :
Déploiement automatisé et contrôles de planification, afin que vous puissiez garantir un déploiement ponctuel aligné sur vos politiques.
La possibilité de cibler les mises à jour par application et version, plutôt qu'un générique « mettre à jour tout ».
Installations silencieuses (dans la mesure du possible) pour minimiser les perturbations.
Rapport clair des échecs et comportement de réessai pour garantir que les correctifs sont correctement installés.
La capacité de différer ou de retarder les correctifs si nécessaire, avec des raisons documentées et des dates de révision.
Traitez Différemment les Stations de Travail en Laboratoire et Partagées
Les laboratoires et les postes de travail ne sont pas les mêmes, ils ne devraient donc pas être traités de la même manière. Les laboratoires universitaires disposent généralement d'outils haute performance et nécessitent une gestion minutieuse, tandis que les postes de travail utilisent souvent des connexions partagées et peuvent être utilisés pour un travail non académique.
Considère ces tactiques lors de la mise à jour des points finaux du laboratoire :
Alignez les fenêtres de correctifs avec les horaires des cours pour minimiser les perturbations.
Maintenir des « images d'or » (ce à quoi ressemble un endpoint entièrement corrigé et configuré) et les mettre à jour régulièrement.
Utilisez des anneaux plus petits par groupe de laboratoires (plutôt que sur tout le campus et tous en même temps) pour vous assurer que certains laboratoires resteront disponibles à tout moment.
Vérifiez l'état post-correctif avant de rouvrir l'accès au laboratoire.
Comment vérifiez-vous les correctifs et bouclez-vous la boucle sur les vulnérabilités ?
Trop souvent, les gens supposent que les correctifs sont déployés sans problème et ne prennent pas la peine de les vérifier. Cependant, la vérification des correctifs est essentielle pour les audits et la conformité TI. Gardez à l'esprit que la vérification des correctifs est à la fois une question technique et opérationnelle, car les équipes TI doivent s'assurer que le correctif est installé avec succès et que la vulnérabilité est correctement traitée.
Lors de la vérification des correctifs, assurez-vous de vérifier :
Taux de succès et d'échec de l'installation des correctifs, triés par anneau de déploiement.
Rescannez les vulnérabilités prioritaires pour confirmer qu'elles sont entièrement corrigées.
Appareils qui ne se sont pas connectés ces derniers jours (selon l'utilisation typique et les politiques de votre environnement).
Points de terminaison qui ne sont plus conformes après avoir été corrigés.
Appareils de votre liste d'exceptions, y compris les propriétaires et les dates d'expiration.
Quel rapport l'informatique universitaire devrait-il utiliser pour prouver les progrès et favoriser la responsabilité ?
Bien que le maintien de la cybersécurité soit essentiel, les équipes informatiques universitaires doivent également le prouver pour maintenir la conformité informatique et respecter leurs obligations réglementaires. Heureusement, avec les bons outils de reporting et les bonnes stratégies, il est facile de démontrer comment vous maintenez la conformité des correctifs et gardez les terminaux sécurisés.
Il y a quelques étapes clés que les équipes informatiques universitaires devraient suivre pour prouver les progrès du déploiement des correctifs :
Créer un tableau de bord opérationnel hebdomadaire
Un tableau de bord hebdomadaire vous aide à suivre les déploiements de correctifs et les tendances d'état semaine après semaine. Cela devrait inclure la conformité des correctifs par anneau de déploiement et département, ainsi que les logiciels les plus critiques nécessitant des correctifs. Assurez-vous de suivre les vulnérabilités en retard, y compris les comptes d'appareils et les propriétaires, les problèmes récurrents et les lacunes en matière de visibilité, afin de vous concentrer sur les domaines nécessitant une attention particulière.
Élaborer un résumé mensuel de leadership
N'oubliez pas de tenir la direction informée à chaque étape ; les résumés mensuels sont importants pour démontrer la conformité et garder tout le monde à jour. Ces résumés devraient inclure des lignes de tendance montrant les changements dans les expositions critiques au fil du temps (de préférence à la baisse), le pourcentage de points de terminaison gérés couverts, et le temps moyen de correction pour les correctifs de haute priorité.
Si des exceptions existent, elles doivent être documentées, accompagnées d'un résumé des risques acceptés. Gardez ces résumés courts et factuels ; le but ici est de tenir tout le monde informé.
Comment Splashtop AEM peut-il aider l'informatique universitaire à gérer les vulnérabilités et le correctif sur les appareils gérés ?
Lorsque vous avez besoin d'une sécurité des points de terminaison sécurisée, fiable et puissante ainsi que d'une gestion des correctifs, Splashtop AEM (Autonomous Endpoint Management) est là. Splashtop AEM permet aux équipes TI de gérer des points d'extrémité disparates et à distance depuis un tableau de bord convivial, incluant la gestion de correctifs automatisée avec des politiques personnalisables pour chaque département.
Utilisez Splashtop AEM pour exécuter le workflow bout en bout
Splashtop AEM est conçu pour permettre aux équipes IT de prendre en charge facilement et efficacement plusieurs points de terminaison à travers les applications et les systèmes d'exploitation. Il offre une visibilité sur chaque appareil, ainsi que la correction automatique des correctifs, la priorisation des menaces, la vérification des correctifs et la création de rapports. Cela comprend :
Visibilité des logiciels et du matériel sur les terminaux gérés, le tout à partir d'un seul écran.
Informations sur les vulnérabilités associées aux CVE, permettant aux équipes IT de voir rapidement l'exposition et de concentrer leur travail de remédiation.
Mise à jour automatique pour les systèmes d'exploitation pris en charge et les applications tierces, avec des contrôles de politique, des plannings et des vérifications pour réduire le travail manuel et les arriérés de mises à jour.
Déploiements de correctifs par anneaux pour réduire les perturbations et garantir que les correctifs fonctionnent correctement une fois déployés.
Vérification des correctifs et génération de rapports automatisés pour compiler des preuves prêtes pour l'audit au besoin.
Trois points de départ courants à l'université
Qu'utilise actuellement votre université pour la gestion des correctifs ? En général, les universités s'appuient sur une correction manuelle, utilisent un outil comme Microsoft Intune ou utilisent différents outils pour chaque département.
Gestion des correctifs manuelle: La gestion manuelle des correctifs est un processus lent qui comporte un risque élevé d'erreur humaine. Splashtop AEM peut améliorer le déploiement des correctifs en automatisant la détection, le test et le déploiement des correctifs, réduisant ainsi les arriérés et démontrant la conformité en matière de sécurité grâce à des rapports détaillés.
Intune: Microsoft Intune est un outil puissant pour garder les appareils Microsoft à jour et sécurisés, mais il manque de couverture pour les correctifs tiers. Splashtop AEM peut renforcer la couverture des correctifs dans Intune et améliorer la remédiation opérationnelle avec des contrôles de déploiement, vérification et reporting sur l'ensemble des endpoints gérés.
Outils Multiples pour les Départements: Si votre université utilise des outils différents pour chaque département, Splashtop AEM peut standardiser la visibilité et le reporting sans les obliger à remplacer immédiatement les outils existants. Splashtop AEM offre une visibilité sur tous les terminaux, permettant aux équipes TI de s'assurer que chaque service est toujours à jour et conforme aux politiques de mise à jour.
Maintenez le contrôle des vulnérabilités et des correctifs sur les terminaux du campus avec Splashtop AEM
Les équipes TI universitaires doivent maintenir la visibilité des logiciels, prioriser l'exposition CVE, déployer les correctifs de manière fiable et prouver la remédiation sur des points d'extrémité distribués. Splashtop AEM soutient ce flux de travail en centralisant la visibilité des points de terminaison et des logiciels, en automatisant le déploiement des correctifs, et en fournissant vérification et rapports qui soutiennent la préparation aux audits.
Avec Splashtop AEM, les équipes peuvent regrouper les appareils en anneaux de déploiement, déployer des correctifs pour les systèmes d'exploitation et les logiciels tiers avec une planification basée sur des politiques, suivre les échecs et confirmer la clôture avec une vérification et un rapport. Les exceptions peuvent être documentées avec les propriétaires et les dates de réévaluation afin que le risque reste visible au lieu de se perdre.
Prêt à opérationnaliser ce flux de travail sur votre campus ? Démarrez un essai gratuit de Splashtop AEM et testez-le avec un département ou un groupe de laboratoires : établissez l'inventaire de votre logiciel, ciblez une catégorie d'applications à haut risque, déployez en anneaux, puis vérifiez et rapportez les résultats avant de l'étendre à l'ensemble du campus.
