青藤云安全坦言:補(bǔ)丁管理并不是一個(gè)新的概念,但它仍然是所有安全和運(yùn)維人員最關(guān)注的話題之一,其重要性不言而喻。根據(jù)Gartner的權(quán)威報(bào)告顯示,當(dāng)下99%的漏洞都是安全人員一年前就知道的漏洞,并且這些漏洞都有對應(yīng)的補(bǔ)丁可以來修復(fù)它們。
因此,安全團(tuán)隊(duì)、合規(guī)團(tuán)隊(duì)和監(jiān)管人員都在推動(dòng)如何更快地進(jìn)行補(bǔ)丁修復(fù)。然而,補(bǔ)丁管理是一項(xiàng)復(fù)雜的活動(dòng),在整個(gè)補(bǔ)丁部署過程中,必須確保應(yīng)用程序和系統(tǒng)的穩(wěn)定性。
不同平臺(tái)的補(bǔ)丁類型
如何將補(bǔ)丁迅速部署到服務(wù)器、終端PC、數(shù)據(jù)庫和應(yīng)用程序等資產(chǎn)上,已經(jīng)成為企業(yè)機(jī)構(gòu)亟需解決問題。但是相比于終端補(bǔ)丁修復(fù),服務(wù)器和應(yīng)用程序補(bǔ)丁的修復(fù)要難得多。
服務(wù)器補(bǔ)丁管理
服務(wù)器的補(bǔ)丁管理工具需要提供補(bǔ)丁更改、安裝部署到服務(wù)器等功能。服務(wù)器管理員必須與業(yè)務(wù)線人員確保在正常業(yè)務(wù)服務(wù)不受影響的基礎(chǔ)上完成補(bǔ)丁修復(fù)工作。補(bǔ)丁管理工具要能夠在特定的維護(hù)窗口期間完成補(bǔ)丁修復(fù),以及處理與虛擬化、基礎(chǔ)設(shè)施依賴關(guān)系和集群相關(guān)的問題。為了應(yīng)對服務(wù)器補(bǔ)丁修復(fù)的復(fù)雜性,補(bǔ)丁管理工具必須要能夠?qū)Χ鄠€(gè)平臺(tái)(如Windows、Linux、Unix、AIX和Solaris)進(jìn)行補(bǔ)丁修復(fù),還要能夠?qū)?nèi)部數(shù)據(jù)中心和公有云上的工作負(fù)載進(jìn)行補(bǔ)丁修復(fù)。在選擇補(bǔ)丁修復(fù)管理工具的時(shí)候,要考慮到平臺(tái)復(fù)雜性、安全團(tuán)隊(duì)人員配置、IT技能和補(bǔ)丁功能需求。
第三方應(yīng)用程序打補(bǔ)丁
及時(shí)地修補(bǔ)第三方應(yīng)用程序補(bǔ)丁,已成為安全和運(yùn)維人員關(guān)注的焦點(diǎn)。有一些軟件供應(yīng)商會(huì)頻繁地發(fā)布補(bǔ)丁,而有一些軟件供應(yīng)商則很少發(fā)布補(bǔ)丁。有些應(yīng)用程序補(bǔ)丁比其他應(yīng)用更難安裝。由于IT資源有限,企業(yè)組織通常會(huì)在應(yīng)用程序補(bǔ)丁修復(fù)方面落后。但是,第三方應(yīng)用程序補(bǔ)丁工具可以為應(yīng)用程序提供企業(yè)級補(bǔ)丁,幫助管理員節(jié)省獲取、分析和重新打包補(bǔ)丁的時(shí)間。
PC客戶端補(bǔ)丁管理
大多數(shù)企業(yè)組織使用客戶端管理工具(CMTs)來修補(bǔ)Windows PC漏洞。這是由于CMTs的廣泛使用和Windows PC補(bǔ)丁的商品化。微軟通過一個(gè)包來部署整個(gè)月的安全補(bǔ)丁,這簡化了補(bǔ)丁修復(fù)某些方面的工作。例如,管理員將不再需要確定一個(gè)補(bǔ)丁是否替換了另一個(gè)補(bǔ)丁。當(dāng)然這種修復(fù)方式,也會(huì)使得企業(yè)組織在應(yīng)用程序兼容性方面面臨新的挑戰(zhàn)。
補(bǔ)丁管理工具必須具備的功能
運(yùn)維人員使用補(bǔ)丁管理工具應(yīng)該能夠自動(dòng)化完成目標(biāo)系統(tǒng)的補(bǔ)丁部署、安裝,并且報(bào)告修復(fù)狀況,如PC、服務(wù)器、數(shù)據(jù)庫和應(yīng)用程序。補(bǔ)丁管理工具可以是:(1)包含在客戶端和服務(wù)器生命周期管理套件中的插件;(2)增強(qiáng)客戶端和服務(wù)器生命周期管理套件的外掛程序;(3)獨(dú)立部署的解決方案。
PC、服務(wù)器、數(shù)據(jù)庫和應(yīng)用程序有不同的補(bǔ)丁管理需求,當(dāng)企業(yè)機(jī)構(gòu)必須對多個(gè)平臺(tái)進(jìn)行打補(bǔ)丁時(shí),這些差異就更加復(fù)雜了。但是,所有補(bǔ)丁管理工具都應(yīng)該提供以下功能:
(1) 資產(chǎn)清點(diǎn):補(bǔ)丁管理工具必須清晰了解硬件、操作系統(tǒng)和軟件的資產(chǎn)清單狀況,才能確定是否需要打補(bǔ)丁,打什么樣補(bǔ)丁等問題。
(2) 補(bǔ)丁庫:補(bǔ)丁管理工具提供了一個(gè)存儲(chǔ)庫,用于存儲(chǔ)和管理環(huán)境中的相關(guān)補(bǔ)丁。大多數(shù)工具可以自動(dòng)從獨(dú)立軟件供應(yīng)商(ISV)下載補(bǔ)丁,并且大多數(shù)工具都能夠存儲(chǔ)從其他來源獲得的補(bǔ)丁。
(3) 補(bǔ)丁分析:補(bǔ)丁管理工具需要根據(jù)業(yè)務(wù)環(huán)境和公共漏洞(如CVE評級)幫助管理員確定補(bǔ)丁部署的優(yōu)先級。此外,也有的企業(yè)組織使用漏洞評估工具來幫助確定補(bǔ)丁的優(yōu)先級。
(4) 部署和安裝:補(bǔ)丁管理工具應(yīng)該具有回滾功能以及重新啟動(dòng)控件功能,并且能夠確保只在特定的維護(hù)窗口期間部署補(bǔ)丁。
(5) 報(bào)告:補(bǔ)丁管理工具必須能夠報(bào)告環(huán)境的當(dāng)前狀態(tài),并提供歷史報(bào)告。
補(bǔ)丁管理工具的核心價(jià)值是,幫助企業(yè)組織跨平臺(tái)和應(yīng)用程序快速地修補(bǔ)易受攻擊的系統(tǒng)補(bǔ)丁。大多數(shù)企業(yè)組織會(huì)自動(dòng)修補(bǔ)部分IT基礎(chǔ)設(shè)施(例如,Windows PC),而對其他平臺(tái)和應(yīng)用程序則采取臨時(shí)修補(bǔ)方法。例如,許多企業(yè)組織使用本地腳本,甚至在發(fā)現(xiàn)一個(gè)關(guān)鍵漏洞時(shí)手動(dòng)安裝Linux補(bǔ)丁。但這很耗時(shí),,而且常常會(huì)導(dǎo)致應(yīng)用程序未打補(bǔ)丁。自動(dòng)化補(bǔ)丁管理程序的目標(biāo)之一是在特定的時(shí)間內(nèi)快速地部署補(bǔ)丁。當(dāng)然不同平臺(tái)、系統(tǒng),補(bǔ)丁修復(fù)時(shí)間也是有所不同。
需要注意的是,從安全的角度來看,補(bǔ)丁修復(fù)的速度應(yīng)該基于漏洞和威脅狀況。Unix和Linux環(huán)境兼容性問題更復(fù)雜,通常有需要更長補(bǔ)丁修復(fù)時(shí)間。
自動(dòng)化補(bǔ)丁管理工具選型指南
