修補(bǔ)軟件漏洞的分步指南

責(zé)任編輯:cres

作者:Ashley Leonard

2023-08-01 15:44:19

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

網(wǎng)絡(luò)安全保險商Coalition公司在最近發(fā)布的《2023年網(wǎng)絡(luò)威脅指數(shù)》報告中預(yù)測,2023年的公共漏洞和暴露事件的平均發(fā)生率與2022年相比將增長13%,每月將達(dá)到1900多個。由于每個月都要發(fā)布數(shù)千個補(bǔ)丁,很多企業(yè)都在努力實(shí)施補(bǔ)丁管理過程。

優(yōu)化補(bǔ)丁管理流程
 
企業(yè)首先發(fā)布簡短的免責(zé)聲明。適當(dāng)?shù)难a(bǔ)丁管理依賴于一些重要的因素,例如企業(yè)的規(guī)模、IT環(huán)境的復(fù)雜性、系統(tǒng)的關(guān)鍵程度,以及為管理所有這些而分配的資源數(shù)量,因此要進(jìn)行相應(yīng)的規(guī)劃。此外,先設(shè)定企業(yè)已經(jīng)有某種端點(diǎn)管理解決方案或用于部署補(bǔ)丁的功能。如果沒有,那么就構(gòu)建這樣的解決方案。
 
假設(shè)企業(yè)有了合適的解決方案,下一步就是評估補(bǔ)丁并確定其優(yōu)先級。
 
并不是所有的漏洞都是一樣的,這意味著并不是所有的補(bǔ)丁都是一樣的。但正如WannaCry等漏洞所表明的那樣,延遲打補(bǔ)丁可能會帶來災(zāi)難性的后果。因此,重要的是要優(yōu)先考慮每個環(huán)境中未被取代的漏洞嚴(yán)重程度最高或暴露程度最高的漏洞。例如,如果企業(yè)有一個補(bǔ)丁只影響1000臺設(shè)備中的少數(shù)設(shè)備,而另一個補(bǔ)丁影響80%的設(shè)備,但兩個補(bǔ)丁都很關(guān)鍵,那么就首先解決可能產(chǎn)生最大負(fù)面影響的補(bǔ)丁帶來的問題,然后解決另一個補(bǔ)丁。
 
一旦解決了關(guān)鍵的補(bǔ)丁,就計劃轉(zhuǎn)向非關(guān)鍵的補(bǔ)丁,這些補(bǔ)丁通常是更新的驅(qū)動程序或增強(qiáng)用戶體驗(yàn)的新軟件,并根據(jù)對業(yè)務(wù)運(yùn)營的重要性對它們進(jìn)行優(yōu)先級排序。
 
許多人使用通用漏洞評分系統(tǒng)來幫助確定更新的優(yōu)先級,這是一個很好的起點(diǎn)。需要記住,許多被評為中等嚴(yán)重級別的漏洞都被忽略了,并在后來發(fā)現(xiàn)它們是漏洞的來源。
 
一旦確定了更新類型的優(yōu)先級,下一步就是在它們進(jìn)入生產(chǎn)環(huán)境之前創(chuàng)建測試指南。
 
企業(yè)最不想做的就是破壞系統(tǒng)。首先研究更新的每個補(bǔ)丁的標(biāo)準(zhǔn),并確定需要測試的組件。接下來,將每個補(bǔ)丁安裝在根據(jù)已經(jīng)證實(shí)的成功標(biāo)準(zhǔn)進(jìn)行測試的5臺以上離網(wǎng)設(shè)備上。然后把證據(jù)記錄下來,讓其他人進(jìn)行審查。一定要查明補(bǔ)丁是否有卸載程序,并使用它來確保完整和安全地刪除過時的程序。
 
如果像大多數(shù)企業(yè)一樣,企業(yè)可能會計劃隨時進(jìn)行更新大量補(bǔ)丁。但是,在任何給定時間安裝的補(bǔ)丁越多,最終用戶中斷的風(fēng)險就會增加(例如,需要下載的數(shù)據(jù)量更大,安裝時間更長,系統(tǒng)重啟等)。
 
因此,下一步是評估系統(tǒng)的帶寬,根據(jù)設(shè)備和類型的總數(shù)計算補(bǔ)丁的總數(shù)和大小。這可以防止系統(tǒng)過載。如果有疑問,就計劃從五次更新開始,然后重新評估帶寬。
 
此外,如果企業(yè)遵循任何變更管理最佳實(shí)踐(例如ITIL、Prince2或ServiceNow),那么遵循這些流程以獲得適當(dāng)?shù)膱蟾婧涂蓪徲嬓允欠浅V匾?。他們通常需要關(guān)于需要更新的文檔、對用戶的影響、測試證據(jù)和上線時間表。通過上述步驟正確捕獲這些數(shù)據(jù)通常需要獲得官方批準(zhǔn),因?yàn)樗俏ㄒ坏氖聦?shí)來源。
 
現(xiàn)在已經(jīng)到了部署的階段。下一步是確保安全部署。建議在提出更改請求以及安排或?qū)彶樾碌难a(bǔ)丁時使用補(bǔ)丁管理日歷。在這里定義了要部署的更新數(shù)量和順序的基線。這應(yīng)該利用從前面步驟中收集的信息。一旦設(shè)置了基線,就可以安排部署并在必要時進(jìn)行自動化。
 
然后進(jìn)入了最后一步:衡量成功與否。這可以通過多種方式處理。例如,根據(jù)已經(jīng)記錄的幫助臺事件的數(shù)量,可以遵循或重復(fù)該過程的難易程度,或者工具集提供的積極報告的數(shù)量。但最終重要的是快速部署、簡化可重復(fù)的流程、減少人工需求,以及最終建立一個不易被利用的組織。
 
快速說明補(bǔ)丁經(jīng)常出錯的地方
 
一些企業(yè)如今仍然允許用戶擁有本地管理員權(quán)限來打補(bǔ)丁。這就產(chǎn)生了主要的攻擊面,而現(xiàn)實(shí)情況是,IT團(tuán)隊(duì)都不應(yīng)該依賴于最終用戶來打補(bǔ)丁,這是因?yàn)槿娴墓芾韱T權(quán)限風(fēng)險太大。
 
有些企業(yè)還依賴免費(fèi)工具,但這些工具通常無法提供修補(bǔ)軟件漏洞所需的所有安全性。它們通常也不提供必要的報告來確保系統(tǒng)100%修補(bǔ)(即驗(yàn)證)。最后,過度依賴自動更新的補(bǔ)丁。自動更新會提供一種錯誤的安全感,如果在工作時間觸發(fā),還會影響工作效率。
 
結(jié)論
 
各種規(guī)模的企業(yè)都在繼續(xù)與漏洞作斗爭。希望這個關(guān)于補(bǔ)丁管理關(guān)鍵注意事項(xiàng)的分步指南可以幫助企業(yè)創(chuàng)建新框架或優(yōu)化現(xiàn)有框架。
 
關(guān)于企業(yè)網(wǎng)D1net(m.r5u5c.cn):
 
國內(nèi)主流的to B IT門戶,同時在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運(yùn)營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號