补丁管理是发布和部署软件更新的持续过程,最常见的是解决安全和功能问题。但要做好补丁管理,就必须具备一个详细的、可重复的过程。
建立有效的补丁管理流程对于保持系统的安全和稳定至关重要。补丁解决可能被黑客利用的漏洞;漏洞修复用于纠正软件中的错误或缺陷,功能升级提供增强功能以改善用户体验。安装这些补丁和更新可以使组织的软件和固件安全、可靠,并与最新的改进保持同步。
在正文开始前,我们先来明确一下补丁管理和漏洞管理的概念及其关键区别。
补丁管理是良好的漏洞管理的一个组成部分,主要关注第三方供应商系统中的已知漏洞。第三方系统包括操作系统(OS)、固件(安装在硬件上的软件)和应用程序。
补丁管理应该被视为任何组织的基础能力,尽管在庞大的环境中通常很难跟上补丁的步伐。由于微软(Windows 10+)、苹果(iOS、macOS)和谷歌(Android、Chrome等)定期推出自动补丁,即使是消费者和技术水平较低的员工也在一定程度上了解补丁管理。
漏洞管理则超越了已知的第三方漏洞,包括更广泛的问题,例如不正确的安装、配置错误、安全漏洞、使用过时的协议、体系结构问题和其他错误,具有已知漏洞的遗留技术也属于漏洞管理范围。
许多漏洞,如遗留技术,无法使用补丁修复。相反地,漏洞管理创建、实现和维护补偿控件,以保护已知的漏洞。虚拟修补(Virtual patching)是一种补偿控制的形式,它使用入侵防御系统(IPS)功能来屏蔽漏洞,但也可以部署其他技术,如更改防火墙规则、添加网络分段和白名单。漏洞管理使用定期的、主动的测试来定位新的漏洞,并持续跟踪旧的漏洞。
| 主要区别:补丁和漏洞管理 | ||
| 类别 |
补丁管理 |
漏洞管理 |
| 范围 |
第三方供应商的操作系统、软件、固件 |
所有IT系统、配置、连接和安全控制 |
| 频率 |
通常是每月一次,与微软的补丁计划相匹配 |
可以是连续的,但应该至少每季度进行一次(对于小型组织来说是每年一次) |
| 发现 |
主要通过供应商发布的安全公告 |
主要通过测试和扫描 |
| 修复 |
下载并应用供应商创建的补丁 |
开发配置更正、补偿控制和附加安全层的修复程序 |
| 记录保存&报告 |
每月应用的补丁,补丁失败的设备,补丁时间 |
当前优先级的漏洞列表、补偿控制状态、漏洞和渗透扫描结果 |
| 合规要求 |
需要 |
经常需要 |
下述补丁管理过程的分步指南可以帮助组织及时洞察漏洞并降低网络风险。
补丁管理的第一步是创建有关组织中所有软件程序和系统的清单。该清单提供了对环境范围和复杂性的全面可见性,确保在整个补丁修复过程中不会忽略任何软件或系统。全面的清单是确定哪些修复已实现,哪些可能丢失的第一步。了解补丁的当前状况将有助于制定计划。
组织面临的一个挑战是,他们往往不知道与其网络相连的所有东西。IT资产管理工具将是帮助团队识别其需要监视的所有资产的有效方法。
对组织中需要打补丁的所有端点进行广泛检查。服务器、工作站、笔记本电脑和任何其他运行软件程序的设备都包括在内,在这些设备上运行的软件、固件和应用程序也包括在内。使用之前生成的清单,确定需要打补丁以保证完全覆盖的确切端点,确定易受影响的系统,确定打补丁的优先级,消除疏忽,并确保遵守安全规则。组织可以通过进行彻底的评估、降低可能的安全风险以及确保安全的IT环境,来成功地监视和缓解漏洞。
确定了软件应用程序和系统之后,根据它们在潜在攻击路径中的重要性和位置对其进行优先级排序。评估漏洞对每个系统的影响,并相应地确定修补工作的优先级。这一步骤将保证高危和重要系统得到所需的关注。
资产的重要性与漏洞的严重程度同等重要。当考虑到资产的价值时,客户数据库中CVE分数较低的漏洞也可能会变得更加紧急。
创建补丁管理策略对于建立一致、统一的补丁程序至关重要。补丁管理策略将所有系统和软件的核心IT需求按重要性排序进行修补和更新。它还概述了可以遵循和报告的明确过程,可以测试和验证的预定标准,以及描述补丁和升级需求的规则。此外,组织的补丁管理技术、指导方针、角色和职责也应该在政策中进行概述。
在整个补丁管理过程中保持详细的文档。在打补丁之前记录系统的状况,包括版本、设置和漏洞。记录打补丁后所做的修改,包括部署的补丁及其对系统的影响。这对于跟踪系统状态、部署的补丁及其影响至关重要。它有助于故障排除、合规、审计和报告。通过彻底记录补丁管理流程,组织可以提高评估补丁有效性、解决问题和证明符合安全需求的能力。
在将补丁部署到生产系统之前,必须对其进行评估和测试,以确保系统和应用程序的有效运行。在受控的测试环境中评估补丁对系统和应用程序的影响。此过程有助于检测补丁可能具有的任何潜在冲突、不兼容性或有害影响。彻底的测试降低了中断生产环境的风险。通过进行全面的评估,发现冲突或兼容性问题,并消除风险,组织可以有效地防止中断,保持系统可靠性,并保护IT基础设施的完整性。
在应用修复程序之前,对关键系统和数据进行完整的备份。如果在打补丁过程中出现任何问题,此备份可以充当“安全网”。在发生故障的情况下,组织可以使用备份将系统恢复到以前的状态。
在发布补丁之前执行完整备份是一项重要的预防性实践。它降低了风险,促进了系统恢复,保护了数据,提供了回滚的可能性。组织可以通过将此阶段添加到补丁管理流程中来提供更安全、更轻松的补丁体验,从而降低可能出现的任何困难的潜在影响。许多补丁管理工具都包含回滚特性。
为了减少广泛出现问题的可能性,组织最好在将补丁推广到整个业务之前,在有限的范围内测试它们。将补丁应用于系统的代表性样本中,然后,密切关注结果,并解决可能出现的任何问题。此阶段有助于识别可能的问题并改进部署过程。最小化风险和改进部署过程的一个主动策略是,在将有代表性的补丁分发到整个组织之前,对它们进行一次试验部署。它有助于识别可能的问题,确保兼容性,并增加对更新有效性的信任。
现在,是时候将测试补丁部署到整个组织的正确端点上了。在对补丁进行评估、测试和验证之后,下一步是从正确的来源下载它们,并根据定义的优先级和为补丁分发指定的时间范围部署它们。这是补丁管理工具可以提供帮助的另一个地方。
为了确保IT环境的完整性,在整个阶段都要小心谨慎,持续监控部署过程,并尽可能频繁和快速地纠正任何问题。
为了使补丁管理过程保持有效,验证和监控补丁更新是必不可少的步骤。它使组织能够检查补丁是否成功安装,保证系统运行,评估策略合规性,找到需要应用的新补丁,并保持一致的补丁时间表。在安装了修补程序之后,对修补程序的监视和评估将衡量其成功与否。确认补丁已正确部署,系统按预期运行,并遵循组织的补丁管理标准是至关重要的。
组织可以使用自动化和简化流程的补丁管理解决方案来有效地监控补丁更新。这些解决方案使IT组织能够跟踪已安装的补丁,并通过提供对各种系统的补丁状态的可见性来发现任何可能的问题或漏洞。
系统管理和监控工具可以帮助跟踪补丁过程,确保交付的补丁的完整性;尽快调查并修复任何补丁故障或问题;确定失败的根本原因并设计解决方案。要补救问题并保护系统的安全性,可能需要重新测试、调试或安装替代补丁。当漏洞无法通过补丁修复或完全缓解时,安全控制可以改善对受影响资产的保护。这个过程通常被称为“虚拟补丁”(virtual patching)。
随时了解组织系统和设备的大多数漏洞和补丁,并确保更新补丁管理软件以保持最新状态。紧跟最新的漏洞和更新,可确保组织的系统具有最佳的安全防护措施,以对抗已知的漏洞。
这些更改还可以改善系统的操作和稳定性。更新软件可以保持与新技术的兼容性,并减少软件冲突或性能问题的可能性。定期查看补丁管理资源、安全公告和漏洞数据库,以确保了解与组织系统相关的任何新修复程序。同样地,这也是补丁管理和漏洞管理工具可以发挥作用的另一个领域。
此步骤允许组织维护一种主动的补丁管理方法,并快速响应新出现的风险。通过保持最新的漏洞和补丁,组织可以快速解决新发现的漏洞和安全风险,同时还可以满足合规性需求并遵守行业标准。
组织可以通过将其补丁管理工作与下述目标结合起来,为补丁构建一个强大的、主动的策略,这将有助于确保他们的软件应用程序和系统的安全性、稳定性和最佳性能。
