推薦！保護數據安全的七項補丁管理實踐

E安全4月27日文 我們正身處一個預打包漏洞利用服務橫行的時代，這意味著毫無技術經驗或者能力的惡意人士也同樣能夠對我們的環境發動複雜的攻擊。面對這一切，我們該作何反應？

修復操作系統與應用程序顯然能夠有效阻止一部分攻擊活動，但除此之外，我們還需要採取哪些更多措施改善自動更新能力？E安全小編提供以下七項補丁管理最佳實踐，憑藉著這些簡單但有效的方法，希望能夠幫助大家將網路安全提升至新的水平。

1使用適當的發現服務

如果不了解需要保護的對象，則安全亦無從談起。知曉是否存在安全漏洞或者違規風險的惟一方法就是採用廣泛的發現功能。

正確的發現服務需要將主動與被動發現能力加以結合，同時著眼於網路的物理、虛擬與外部系統訪問機制。E安全小編建議您整理出當前生產系統相關信息清單，具體包括IP地址、操作系統類型、版本以及物理位置等等......以上這些將幫助您更有針對性地定期清點網路體系並進行更新補丁管理工作，除此之外還可以明確相關責任人及其聯繫方式，方便審查和責任落實。

在運維環境中，單獨一台計算機在錯過正確補丁之後，即有可能對整體網路的穩定性造成威脅，甚至破壞其正常運作能力。

2使用異構操作系統平台支持

在著手創建清單並使用正確的發現工具時，大家亦有必要確保將廣泛的供應商與操作系統納入其中。Windows已經不再是惟一的首選操作系統，因此如果您只能支持Windows環境，那麼安全將不復存在。蘋果Mac在全球眾多企業的最終用戶中普遍存在，而MacOS同樣易受到惡意軟體的針對性攻擊。

根據JAMF

2015年調查發現，96%的企業IT專業人員支持Mac設備。其它操作系統也正在引起廣泛關注。Linux與Unix在大型企業的數據中心當中佔據5%到35%份額，而Ubuntu作為一款Linux發行版亦在最終用戶群體中越來越多地受到青睞。您應當酌情在補丁管理策略當中將上述操作系統類型選擇性的納入支持。

3執行應用程序補丁安裝

雖然許多企業已經開始實施操作系統平台支持與發現服務，但仍有一部分僅能夠支持來自特定供應商的操作系統與應用程序，而忽視了第三方軟體的保護工作。以Windows為例，多達80%的軟體漏洞來自運行在Windows系統之上的非微軟應用程序，這意味著您不僅需要進行全面的系統覆蓋，同時還需要採取綜合性應用程序保護方案。

BYOD則進一步令保護工作複雜化，因為用戶開始不斷向企業環境中帶入IT部門所不知曉或者不受控制的操作系統與應用程序。

目前，Adobe、谷歌、甲骨文以及Mozilla等廠商的產品在企業環境中非常流行，其中亦存在著大量亟待解決的安全漏洞。

舉例來說，2015年Flash Player在Angler（Angler是一套可通過黑市直接獲取的現成惡意利用框架）中的總體惡意事故內佔比超過70%。

在這種情況下，我們無法單純依賴於自動更新程序，因為此項功能往往被禁用、或被用戶忽略並能夠隨時關閉。

另外，某些得到廣泛使用的自動更新程序也易受到破壞。2016年谷歌Chrome就曾遭遇長達六個月的自動更新失效問題。在此期間積累起的大量漏洞將很可能導致對應系統成為網路犯罪活動的犧牲品。

4 立足內部與外部實現補丁覆蓋

值得一提的是，如果不能對處於任意位置的每一台計算設備進行操作系統與應用程序補丁安裝，那麼安全保障將不可能實現。由於IT方案允許用戶立足外部甚至遠程方式進行工作，因此我們同樣有必要對這部分用戶提供保護。補丁管理系統與其它安全控制方案應能夠為此類員工帶來等同於內部環境相同的覆蓋面與控制能力。

零日漏洞利用行為隨時可能發生，我們無法預測用戶何時會接入網路或者連接至VPN，並將這些安全威脅帶到網路的其餘部分。隨著員工隊伍分散化趨勢的日漸明朗，相當一部分最終用戶處於不同位置，因此大家必須認真考量其實際情況以避免意外違規事故的發生。

5 每周安裝補丁

微軟方面始終保持著固定的安全補丁發布周期（補丁星期二，每個月第二個星期二發布補丁），但大多數其它供應商則並不遵循類似的嚴格發布時間表。甲骨文公司在每季度第一個月發布安全補丁，Adobe則選擇與微軟同一天發布季度安全補丁。谷歌與Mozilla並沒有設定具體的時間表，隨時發布經過檢測確認的補丁。

雖然以上每一家供應商都擁有可與其發布規律相契合的補丁管理方案，但將其全部協調起來對大多數企業來講則相當困難。如果希望通過儘可能提升修復頻率以改善安全水平，那麼以不變應萬變的方式，每周更新一下發布的最新補丁絕對是種好辦法。

6在數據中心內採取無代理機制

伺服器的補丁管理需求存在著明確的特殊性。通常來講，伺服器管理員並不希望給系統添加其它代理，另外亦存在大量代理所無法操作的虛擬基礎設施，例如模板與離線虛擬機。另外，在每套虛擬機上安裝代理可能會給網路資源帶來壓力，從而造成網路性能低下。我們需要將兩者加以結合，即保持靈活的體系結構，且同時維護伺服器的無代理與有代理支持。

7 避免例外情況

無論是否支持代理，我們在實際補丁管理時都會遭遇例外狀況。但著眼於當前的安全環境，例外絕對不能姑息，您需要將例外視為另一種異常情況。舉例來說，核心組件的補丁安裝可能會破壞某些內容並導致運行異常，這一點在Java
7的update
63中就曾經出現。在這種情況下，您可以繼續將Java保留在舊有版本，同時鎖定系統中用戶的許可權，而後直接刪除互聯網訪問選項並在系統中應用白名單機制，從而阻止任何未知/不受信載荷以降低執行風險。但請注意，例外及異常絕對不可阻礙補丁修複流程的進行。

補丁管理對於網路安全而言至關重要，但卻很少引起人們的足夠重視。E安全小編提請重視以上七項最佳實踐，並藉此幫助您保持及時補丁更新，最終保護虛擬數據環境免受各類安全威脅的衝擊。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。