导语:根据Cosgrove、Downs以及其他网络安全和IT领导者的看法,强大的补丁管理流程需要涉及六个关键的步骤。而本文将分享这六个关键步骤,助你打造坚实的补丁管理流程。

patch-100719564-large.jpg

背景介绍

近日,软件补丁的重要性再次引发关注,因为全球网络安全官员正在与“Spectre”(幽灵)和“Meltdown”(熔断)两大CPU漏洞做斗争,这两大漏洞正是影响过去20年制造的大多数计算机芯片的罪魁祸首。

尽管可能会对芯片性能造成一定程度的影响,但是可用的软件补丁程序却可以解决这些漏洞,最大限度地降低安全风险。事实上,今年的CPU漏洞与去年的“WannaCry”和“Petya”勒索软件的故事正好相呼应,这两者都是利用了那些还没使用可用补丁程序进行安全更新的脆弱软件。例如,发生在2017年5月份的WannaCry勒索软件利用了微软基于445端口传播扩散的SMB漏洞MS17-010,而微软早在2017年3月份就已经发布了关于该漏洞的补丁程序。

当然,这些安全补丁在解决漏洞问题的同时也带来了各种复杂的可能性。例如,微软、红帽(Red Hat)和英特尔一起发布的Meltdown和Spectre补丁对各种系统影响的性能评估报告就指出,

Spectre和Meltdown一共有三个变种,Spectre有两个(变种1和变种2),Meltdown有一个(变种3)。而变种1和变种3的补丁对性能的影响最小,变种2的补丁对操作系统和微代码的性能有影响。其中对于使用英特尔Skylake、Kabylake或更新的CPU的台式机用户来说,Windows 10的性能没有受到显著的影响;对于使用英特尔Haswell或更老的CPU的台式机用户来说,Windows 7/8/10的性能明显下降;对于Windows Server应用程序,特别是那些I/O密集型应用程序来说,无论使用什么处理器,性能都受到明显的影响。

针对补丁管理的复杂性,IT和网络安全人员需要充分了解并权衡这些安全风险,以应对补丁应用时可能出现的业务中断和IT基础设施故障风险。

什么是补丁管理(patch management)?

补丁管理就是用新代码更新软件的做法,这通常是为了解决可能被黑客利用的漏洞,同时也可以解决现有程序中的其他问题或为其添加新功能。

尽管这种做法听起来很简单,但是对于大多数IT组织而言,补丁管理并非一件易事。

在现代企业中(具有复杂且个性化定制的网络环境)应用软件补丁可能会降低硬件或软件的运行速度,正如设计用于修复Spectre和Meltdown漏洞的补丁应用情况一样。补丁程序可能会关闭端口,禁用关键基础设施,也可能会导致系统崩溃或可用性降低的情况,最终致使企业无法运行处理事务所需的系统。

国际专业协会ISACA网络安全实践主管兼主题专家Frank Downs表示,

当你拥有一个庞大的组织或多样的网络时,应用补丁程序就可能会为很多不同的系统做很多不同的事情。这些补丁程序的确可以解决安全漏洞,但是它也会产生很多意想不到的后果。

此外,组织还必须考虑实施补丁所需花费的时间和资源。工作人员需要时间来测试、部署和记录补丁程序,花费的这些时间就意味着他们无法从事其他更重要的活动。另外,他们也需要时间来关闭和重新启动系统,以全面实施补丁程序,这可能意味着业务系统中其他人的生产力也会受到影响。

另一方面,补丁管理又是必不可少的。信息技术研究和咨询公司Gartner在其2017年发布的白皮书《补丁管理工具技术洞察报告》中指出,99%的漏洞利用都是基于已知的漏洞,而且其中许多漏洞都已经发布了补丁修复程序。

6招助你打造坚实的补丁管理流程 

最近一波利用未打补丁的系统实施攻击的头条事件,再次为企业施加了压力,促使他们更好地管理补丁,并且更快地将补丁程序部署到服务器、终端、数据库以及应用程序之中。

Gartner的IT服务自动化研究小组分析师Terrence Cosgrove表示,诚然,开发一个强大的补丁管理流程似乎不如实施新的网络安全防御措施那般令人兴奋,但它仍然会带来很大的回报。他说,

我们认为你能做的最重要的事情就是完善你的补丁程序。这是最基本的事情,也是真正能够降低风险的方法。

根据Cosgrove、Downs以及其他网络安全和IT领导者的看法,强大的补丁管理流程需要涉及以下几个关键的步骤。具体内容如下:

1.将补丁管理设为优先事项

Cosgrove表示,IT运营工作人员一般情况下会选择应用补丁程序,但是一旦涉及竞争需求和优先级的问题,他们的精力就会被分散到多个方向,进而忽略补丁管理的事宜。因此,如果企业领导者想要培养形成强大的补丁管理规范,就必须将其视为优先事项,制定补丁计划并分配完成任务所需的资源。

2.对网络资产清单具备明确的认知

IT运营人员需要知道其环境中的每个资产,以便在供应商提供补丁时确定哪些是需要的。Protiviti公司全球信息安全业务负责人Scott Laliberte解释称,如果你连自己拥有的东西都不清楚,谈何修复!但是想要完成实现这一目标(了解全部网络资产)可能也是不现实的,尤其是对于一些大型组织而言,但是企业领导者应该朝着这个目标努力,先在尽可能少的平台上实现标准化,以帮助他们逐步达成目标。此外,网络制图和自动化还可以帮助组织创建最为准确的资产清单。

3.制定测试流程

Down表示,

你需要在打补丁之前查看所有系统,并确保补丁不会破坏任何东西。先测试补丁,执行所有步骤,并在应用补丁之前确保其没有不良后果。

Verodin公司首席信息安全官(CISO)兼技术创新副总裁Brian Contos建议称,组织可以建立一个模拟生产环境的测试实验室。虽然他也承认这种方法既昂贵又耗时,但他认为,与黑客入侵生产环境造成不可估量的损失相比,建立模拟实验室的成本更低。

4.付诸实际

鉴于现代IT堆栈的众多集成点、定制件、附加件等常常在多个位置以及移动终端之间传播,这种复杂性也使得修复工作变得更加复杂。对此,Laliberte表示,

IT部门必须接受将会出现一系列问题并着力解决它们,而不是推脱和规避责任。

5.明确的责任制

IT和网络安全专家表示,一个典型的IT部门通常会有许多工作人员将“补丁应用”作为其工作职责的一部分,如此便形成“三个和尚没水吃”的局面。因为,补丁管理已经成为许多人而不是某一个人可以完成的任务,结果就造成责任推卸,没人去实际地完成任务。

对于一个企业而言,没有明确的问责制,便很难拥有强大的补丁管理流程。Down进一步解释称,

这并不是说你需要专门聘请补丁经理,除非你的公司是大型跨国公司且真的需要这样一名补丁负责人。但是你的公司至少应该有一个人,将补丁管理视为其正式职责的一部分。

6.补丁记录文件

一个强大的补丁管理规则除了应该包括文件化的资产清单之外,还应该提供一个方法,用于识别和记录供应商发布的补丁程序、计划将于企业中部署的补丁程序,以及已经完成的补丁程序等信息。此外,Laliberte还建议开发度量标准和仪表板,以创建对修补程序管理规则的可见性,以便让管理人员知道已经解决了的漏洞位置,系统可能会在没有修补的情况下运行多长时间,以及哪里存在漏洞等信息。

使用补丁管理软件

对于IT环境不那么复杂的小型组织而言,可以在没有任何补丁管理工具的情况下跟踪、测试、应用和记录补丁。而一些较大的IT部门有时会继续使用该路线,有时也会使用一些自制脚本和手动流程来修补某些系统。

然而,网络安全领导者认为,如今的企业需要投入使用补丁管理软件,这将使他们能够快速准确地在其IT环境中的各种平台上部署补丁程序。

Cosgrove表示,在大多数组织中,没有一种工具能够跨越各种技术处理每个修补程序。补丁管理工具可以部署为更大生命周期管理套件、增强这些套件的插件或是独立解决方案的组成部分进行使用。

大多数组织通常会部署多种类型的补丁管理工具,根据他们使用的特定软件和硬件系统,以及它们想要部署补丁的速度、业务风险和其他因素等来选择符合其需求的工具类型。

补丁管理策略

遵循这些步骤可以帮助企业确保强大的补丁管理规范。同时,Contos表示,企业IT和网络安全管理人员可以通过制定全面的补丁管理策略,并在更广泛的网络安全战略中适用该策略,来得到很好的服务。他说,

每个企业都需要补丁,但它应该更加程序化,它应该是在有计划的努力下完成的,即在产品投入生产之前对其进行评估和测试。而近些年,我们已经跳过了这一至关重要的步骤。

他解释称,由于应用补丁的复杂性和风险性,以及IT和安全人员还有许多其他相互竞争的职责,因此组织往往会采取反应式而非系统化的方法来处理补丁。但是,这只会增加针对未打补丁系统的攻击风险,以及由于执行不良补丁而导致的并发症。

Contos建议称,企业领导人可以制定考虑业务风险和组织整体安全状况在内的补丁管理策略,以便更好地确定补丁需要更新的频率和时间。 他承认,

这项工作并不容易,而且非常乏味。因为一切正常时,没有人知道你做了什么。只有在出现问题的时候才会有人关心补丁管理。但往往这个时候已经错过了补丁管理的正确时间,因为毕竟它不是一个即时反应的事情。

源链接

Hacking more

...