企業(yè)首先發(fā)布簡短的免責(zé)聲明。適當(dāng)?shù)难a(bǔ)丁管理依賴于一些重要的因素,例如企業(yè)的規(guī)模、IT環(huán)境的復(fù)雜性、系統(tǒng)的關(guān)鍵程度,以及為管理所有這些而分配的資源數(shù)量,因此要進(jìn)行相應(yīng)的規(guī)劃。此外,先設(shè)定企業(yè)已經(jīng)有某種端點(diǎn)管理解決方案或用于部署補(bǔ)丁的功能。如果沒有,那么就構(gòu)建這樣的解決方案。
假設(shè)企業(yè)有了合適的解決方案,下一步就是評估補(bǔ)丁并確定其優(yōu)先級。
并不是所有的漏洞都是一樣的,這意味著并不是所有的補(bǔ)丁都是一樣的。但正如WannaCry等漏洞所表明的那樣,延遲打補(bǔ)丁可能會帶來災(zāi)難性的后果。因此,重要的是要優(yōu)先考慮每個環(huán)境中未被取代的漏洞嚴(yán)重程度最高或暴露程度最高的漏洞。例如,如果企業(yè)有一個補(bǔ)丁只影響1000臺設(shè)備中的少數(shù)設(shè)備,而另一個補(bǔ)丁影響80%的設(shè)備,但兩個補(bǔ)丁都很關(guān)鍵,那么就首先解決可能產(chǎn)生最大負(fù)面影響的補(bǔ)丁帶來的問題,然后解決另一個補(bǔ)丁。
一旦解決了關(guān)鍵的補(bǔ)丁,就計劃轉(zhuǎn)向非關(guān)鍵的補(bǔ)丁,這些補(bǔ)丁通常是更新的驅(qū)動程序或增強(qiáng)用戶體驗(yàn)的新軟件,并根據(jù)對業(yè)務(wù)運(yùn)營的重要性對它們進(jìn)行優(yōu)先級排序。
許多人使用通用漏洞評分系統(tǒng)來幫助確定更新的優(yōu)先級,這是一個很好的起點(diǎn)。需要記住,許多被評為中等嚴(yán)重級別的漏洞都被忽略了,并在后來發(fā)現(xiàn)它們是漏洞的來源。
一旦確定了更新類型的優(yōu)先級,下一步就是在它們進(jìn)入生產(chǎn)環(huán)境之前創(chuàng)建測試指南。
企業(yè)最不想做的就是破壞系統(tǒng)。首先研究更新的每個補(bǔ)丁的標(biāo)準(zhǔn),并確定需要測試的組件。接下來,將每個補(bǔ)丁安裝在根據(jù)已經(jīng)證實(shí)的成功標(biāo)準(zhǔn)進(jìn)行測試的5臺以上離網(wǎng)設(shè)備上。然后把證據(jù)記錄下來,讓其他人進(jìn)行審查。一定要查明補(bǔ)丁是否有卸載程序,并使用它來確保完整和安全地刪除過時的程序。
如果像大多數(shù)企業(yè)一樣,企業(yè)可能會計劃隨時進(jìn)行更新大量補(bǔ)丁。但是,在任何給定時間安裝的補(bǔ)丁越多,最終用戶中斷的風(fēng)險就會增加(例如,需要下載的數(shù)據(jù)量更大,安裝時間更長,系統(tǒng)重啟等)。
因此,下一步是評估系統(tǒng)的帶寬,根據(jù)設(shè)備和類型的總數(shù)計算補(bǔ)丁的總數(shù)和大小。這可以防止系統(tǒng)過載。如果有疑問,就計劃從五次更新開始,然后重新評估帶寬。
此外,如果企業(yè)遵循任何變更管理最佳實(shí)踐(例如ITIL、Prince2或ServiceNow),那么遵循這些流程以獲得適當(dāng)?shù)膱蟾婧涂蓪徲嬓允欠浅V匾?。他們通常需要關(guān)于需要更新的文檔、對用戶的影響、測試證據(jù)和上線時間表。通過上述步驟正確捕獲這些數(shù)據(jù)通常需要獲得官方批準(zhǔn),因?yàn)樗俏ㄒ坏氖聦?shí)來源。
現(xiàn)在已經(jīng)到了部署的階段。下一步是確保安全部署。建議在提出更改請求以及安排或?qū)彶樾碌难a(bǔ)丁時使用補(bǔ)丁管理日歷。在這里定義了要部署的更新數(shù)量和順序的基線。這應(yīng)該利用從前面步驟中收集的信息。一旦設(shè)置了基線,就可以安排部署并在必要時進(jìn)行自動化。
然后進(jìn)入了最后一步:衡量成功與否。這可以通過多種方式處理。例如,根據(jù)已經(jīng)記錄的幫助臺事件的數(shù)量,可以遵循或重復(fù)該過程的難易程度,或者工具集提供的積極報告的數(shù)量。但最終重要的是快速部署、簡化可重復(fù)的流程、減少人工需求,以及最終建立一個不易被利用的組織。
快速說明補(bǔ)丁經(jīng)常出錯的地方
一些企業(yè)如今仍然允許用戶擁有本地管理員權(quán)限來打補(bǔ)丁。這就產(chǎn)生了主要的攻擊面,而現(xiàn)實(shí)情況是,IT團(tuán)隊(duì)都不應(yīng)該依賴于最終用戶來打補(bǔ)丁,這是因?yàn)槿娴墓芾韱T權(quán)限風(fēng)險太大。
有些企業(yè)還依賴免費(fèi)工具,但這些工具通常無法提供修補(bǔ)軟件漏洞所需的所有安全性。它們通常也不提供必要的報告來確保系統(tǒng)100%修補(bǔ)(即驗(yàn)證)。最后,過度依賴自動更新的補(bǔ)丁。自動更新會提供一種錯誤的安全感,如果在工作時間觸發(fā),還會影響工作效率。
結(jié)論
各種規(guī)模的企業(yè)都在繼續(xù)與漏洞作斗爭。希望這個關(guān)于補(bǔ)丁管理關(guān)鍵注意事項(xiàng)的分步指南可以幫助企業(yè)創(chuàng)建新框架或優(yōu)化現(xiàn)有框架。
關(guān)于企業(yè)網(wǎng)D1net(m.r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運(yùn)營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。