六個關鍵的步驟助你打造堅實的補丁管理流程

背景介紹

近日，軟體補丁的重要性再次引發關注，因為全球網路安全官員正在與「Spectre」（幽靈）和「Meltdown」（熔斷）兩大CPU漏洞做鬥爭，這兩大漏洞正是影響過去20年製造的大多數計算機晶元的罪魁禍首。

儘管可能會對晶元性能造成一定程度的影響，但是可用的軟體補丁程序卻可以解決這些漏洞，最大限度地降低安全風險。事實上，今年的CPU漏洞與去年的「WannaCry」和「Petya」勒索軟體的故事正好相呼應，這兩者都是利用了那些還沒使用可用補丁程序進行安全更新的脆弱軟體。例如，發生在2017年5月份的WannaCry勒索軟體利用了微軟基於445埠傳播擴散的SMB漏洞MS17-010，而微軟早在2017年3月份就已經發布了關於該漏洞的補丁程序。

當然，這些安全補丁在解決漏洞問題的同時也帶來了各種複雜的可能性。例如，微軟、紅帽（Red Hat）和英特爾一起發布的Meltdown和Spectre補丁對各種系統影響的性能評估報告就指出，

Spectre和Meltdown一共有三個變種，Spectre有兩個（變種1和變種2），Meltdown有一個（變種3）。而變種1和變種3的補丁對性能的影響最小，變種2的補丁對操作系統和微代碼的性能有影響。其中對於使用英特爾Skylake、Kabylake或更新的CPU的台式機用戶來說，Windows 10的性能沒有受到顯著的影響；對於使用英特爾Haswell或更老的CPU的台式機用戶來說，Windows 7/8/10的性能明顯下降；對於Windows Server應用程序，特別是那些I/O密集型應用程序來說，無論使用什麼處理器，性能都受到明顯的影響。

針對補丁管理的複雜性，IT和網路安全人員需要充分了解並權衡這些安全風險，以應對補丁應用時可能出現的業務中斷和IT基礎設施故障風險。

什麼是補丁管理（patch management）？

補丁管理就是用新代碼更新軟體的做法，這通常是為了解決可能被黑客利用的漏洞，同時也可以解決現有程序中的其他問題或為其添加新功能。

儘管這種做法聽起來很簡單，但是對於大多數IT組織而言，補丁管理並非一件易事。

在現代企業中（具有複雜且個性化定製的網路環境）應用軟體補丁可能會降低硬體或軟體的運行速度，正如設計用於修復Spectre和Meltdown漏洞的補丁應用情況一樣。補丁程序可能會關閉埠，禁用關鍵基礎設施，也可能會導致系統崩潰或可用性降低的情況，最終致使企業無法運行處理事務所需的系統。

國際專業協會ISACA網路安全實踐主管兼主題專家Frank Downs表示，

當你擁有一個龐大的組織或多樣的網路時，應用補丁程序就可能會為很多不同的系統做很多不同的事情。這些補丁程序的確可以解決安全漏洞，但是它也會產生很多意想不到的後果。

此外，組織還必須考慮實施補丁所需花費的時間和資源。工作人員需要時間來測試、部署和記錄補丁程序，花費的這些時間就意味著他們無法從事其他更重要的活動。另外，他們也需要時間來關閉和重新啟動系統，以全面實施補丁程序，這可能意味著業務系統中其他人的生產力也會受到影響。

另一方面，補丁管理又是必不可少的。信息技術研究和諮詢公司Gartner在其2017年發布的白皮書《補丁管理工具技術洞察報告》中指出，99％的漏洞利用都是基於已知的漏洞，而且其中許多漏洞都已經發布了補丁修復程序。

6招助你打造堅實的補丁管理流程

最近一波利用未打補丁的系統實施攻擊的頭條事件，再次為企業施加了壓力，促使他們更好地管理補丁，並且更快地將補丁程序部署到伺服器、終端、資料庫以及應用程序之中。

Gartner的IT服務自動化研究小組分析師Terrence Cosgrove表示，誠然，開發一個強大的補丁管理流程似乎不如實施新的網路安全防禦措施那般令人興奮，但它仍然會帶來很大的回報。他說，

我們認為你能做的最重要的事情就是完善你的補丁程序。這是最基本的事情，也是真正能夠降低風險的方法。

根據Cosgrove、Downs以及其他網路安全和IT領導者的看法，強大的補丁管理流程需要涉及以下幾個關鍵的步驟。具體內容如下：

1.將補丁管理設為優先事項

Cosgrove表示，IT運營工作人員一般情況下會選擇應用補丁程序，但是一旦涉及競爭需求和優先順序的問題，他們的精力就會被分散到多個方向，進而忽略補丁管理的事宜。因此，如果企業領導者想要培養形成強大的補丁管理規範，就必須將其視為優先事項，制定補丁計劃並分配完成任務所需的資源。

2.對網路資產清單具備明確的認知

IT運營人員需要知道其環境中的每個資產，以便在供應商提供補丁時確定哪些是需要的。Protiviti公司全球信息安全業務負責人Scott Laliberte解釋稱，如果你連自己擁有的東西都不清楚，談何修復！但是想要完成實現這一目標（了解全部網路資產）可能也是不現實的，尤其是對於一些大型組織而言，但是企業領導者應該朝著這個目標努力，先在儘可能少的平台上實現標準化，以幫助他們逐步達成目標。此外，網路製圖和自動化還可以幫助組織創建最為準確的資產清單。

3.制定測試流程

Down表示，

你需要在打補丁之前查看所有系統，並確保補丁不會破壞任何東西。先測試補丁，執行所有步驟，並在應用補丁之前確保其沒有不良後果。

Verodin公司首席信息安全官（CISO）兼技術創新副總裁Brian Contos建議稱，組織可以建立一個模擬生產環境的測試實驗室。雖然他也承認這種方法既昂貴又耗時，但他認為，與黑客入侵生產環境造成不可估量的損失相比，建立模擬實驗室的成本更低。

4.付諸實際

鑒於現代IT堆棧的眾多集成點、定製件、附加件等常常在多個位置以及移動終端之間傳播，這種複雜性也使得修復工作變得更加複雜。對此，Laliberte表示，

IT部門必須接受將會出現一系列問題並著力解決它們，而不是推脫和規避責任。

5.明確的責任制

IT和網路安全專家表示，一個典型的IT部門通常會有許多工作人員將「補丁應用」作為其工作職責的一部分，如此便形成「三個和尚沒水吃」的局面。因為，補丁管理已經成為許多人而不是某一個人可以完成的任務，結果就造成責任推卸，沒人去實際地完成任務。

對於一個企業而言，沒有明確的問責制，便很難擁有強大的補丁管理流程。Down進一步解釋稱，

這並不是說你需要專門聘請補丁經理，除非你的公司是大型跨國公司且真的需要這樣一名補丁負責人。但是你的公司至少應該有一個人，將補丁管理視為其正式職責的一部分。

6.補丁記錄文件

一個強大的補丁管理規則除了應該包括文件化的資產清單之外，還應該提供一個方法，用於識別和記錄供應商發布的補丁程序、計劃將於企業中部署的補丁程序，以及已經完成的補丁程序等信息。此外，Laliberte還建議開發度量標準和儀錶板，以創建對修補程序管理規則的可見性，以便讓管理人員知道已經解決了的漏洞位置，系統可能會在沒有修補的情況下運行多長時間，以及哪裡存在漏洞等信息。

使用補丁管理軟體

對於IT環境不那麼複雜的小型組織而言，可以在沒有任何補丁管理工具的情況下跟蹤、測試、應用和記錄補丁。而一些較大的IT部門有時會繼續使用該路線，有時也會使用一些自製腳本和手動流程來修補某些系統。

然而，網路安全領導者認為，如今的企業需要投入使用補丁管理軟體，這將使他們能夠快速準確地在其IT環境中的各種平台上部署補丁程序。

Cosgrove表示，在大多數組織中，沒有一種工具能夠跨越各種技術處理每個修補程序。補丁管理工具可以部署為更大生命周期管理套件、增強這些套件的插件或是獨立解決方案的組成部分進行使用。

大多數組織通常會部署多種類型的補丁管理工具，根據他們使用的特定軟體和硬體系統，以及它們想要部署補丁的速度、業務風險和其他因素等來選擇符合其需求的工具類型。

補丁管理策略

遵循這些步驟可以幫助企業確保強大的補丁管理規範。同時，Contos表示，企業IT和網路安全管理人員可以通過制定全面的補丁管理策略，並在更廣泛的網路安全戰略中適用該策略，來得到很好的服務。他說，

每個企業都需要補丁，但它應該更加程序化，它應該是在有計劃的努力下完成的，即在產品投入生產之前對其進行評估和測試。而近些年，我們已經跳過了這一至關重要的步驟。

他解釋稱，由於應用補丁的複雜性和風險性，以及IT和安全人員還有許多其他相互競爭的職責，因此組織往往會採取反應式而非系統化的方法來處理補丁。但是，這隻會增加針對未打補丁系統的攻擊風險，以及由於執行不良補丁而導致的併發症。

Contos建議稱，企業領導人可以制定考慮業務風險和組織整體安全狀況在內的補丁管理策略，以便更好地確定補丁需要更新的頻率和時間。 他承認，

這項工作並不容易，而且非常乏味。因為一切正常時，沒有人知道你做了什麼。只有在出現問題的時候才會有人關心補丁管理。但往往這個時候已經錯過了補丁管理的正確時間，因為畢竟它不是一個即時反應的事情。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！