青藤云安全坦言:補(bǔ)丁管理并不是一個新的概念,但它仍然是所有安全和運維人員最關(guān)注的話題之一,其重要性不言而喻。根據(jù)Gartner的權(quán)威報告顯示,當(dāng)下99%的漏洞都是安全人員一年前就知道的漏洞,并且這些漏洞都有對應(yīng)的補(bǔ)丁可以來修復(fù)它們。
因此,安全團(tuán)隊、合規(guī)團(tuán)隊和監(jiān)管人員都在推動如何更快地進(jìn)行補(bǔ)丁修復(fù)。然而,補(bǔ)丁管理是一項復(fù)雜的活動,在整個補(bǔ)丁部署過程中,必須確保應(yīng)用程序和系統(tǒng)的穩(wěn)定性。
不同平臺的補(bǔ)丁類型
如何將補(bǔ)丁迅速部署到服務(wù)器、終端PC、數(shù)據(jù)庫和應(yīng)用程序等資產(chǎn)上,已經(jīng)成為企業(yè)機(jī)構(gòu)亟需解決問題。但是相比于終端補(bǔ)丁修復(fù),服務(wù)器和應(yīng)用程序補(bǔ)丁的修復(fù)要難得多。
服務(wù)器補(bǔ)丁管理
服務(wù)器的補(bǔ)丁管理工具需要提供補(bǔ)丁更改、安裝部署到服務(wù)器等功能。服務(wù)器管理員必須與業(yè)務(wù)線人員確保在正常業(yè)務(wù)服務(wù)不受影響的基礎(chǔ)上完成補(bǔ)丁修復(fù)工作。補(bǔ)丁管理工具要能夠在特定的維護(hù)窗口期間完成補(bǔ)丁修復(fù),以及處理與虛擬化、基礎(chǔ)設(shè)施依賴關(guān)系和集群相關(guān)的問題。為了應(yīng)對服務(wù)器補(bǔ)丁修復(fù)的復(fù)雜性,補(bǔ)丁管理工具必須要能夠?qū)Χ鄠€平臺(如Windows、Linux、Unix、AIX和Solaris)進(jìn)行補(bǔ)丁修復(fù),還要能夠?qū)?nèi)部數(shù)據(jù)中心和公有云上的工作負(fù)載進(jìn)行補(bǔ)丁修復(fù)。在選擇補(bǔ)丁修復(fù)管理工具的時候,要考慮到平臺復(fù)雜性、安全團(tuán)隊人員配置、IT技能和補(bǔ)丁功能需求。
第三方應(yīng)用程序打補(bǔ)丁
及時地修補(bǔ)第三方應(yīng)用程序補(bǔ)丁,已成為安全和運維人員關(guān)注的焦點。有一些軟件供應(yīng)商會頻繁地發(fā)布補(bǔ)丁,而有一些軟件供應(yīng)商則很少發(fā)布補(bǔ)丁。有些應(yīng)用程序補(bǔ)丁比其他應(yīng)用更難安裝。由于IT資源有限,企業(yè)組織通常會在應(yīng)用程序補(bǔ)丁修復(fù)方面落后。但是,第三方應(yīng)用程序補(bǔ)丁工具可以為應(yīng)用程序提供企業(yè)級補(bǔ)丁,幫助管理員節(jié)省獲取、分析和重新打包補(bǔ)丁的時間。
PC客戶端補(bǔ)丁管理
大多數(shù)企業(yè)組織使用客戶端管理工具(CMTs)來修補(bǔ)Windows PC漏洞。這是由于CMTs的廣泛使用和Windows PC補(bǔ)丁的商品化。微軟通過一個包來部署整個月的安全補(bǔ)丁,這簡化了補(bǔ)丁修復(fù)某些方面的工作。例如,管理員將不再需要確定一個補(bǔ)丁是否替換了另一個補(bǔ)丁。當(dāng)然這種修復(fù)方式,也會使得企業(yè)組織在應(yīng)用程序兼容性方面面臨新的挑戰(zhàn)。
補(bǔ)丁管理工具必須具備的功能
運維人員使用補(bǔ)丁管理工具應(yīng)該能夠自動化完成目標(biāo)系統(tǒng)的補(bǔ)丁部署、安裝,并且報告修復(fù)狀況,如PC、服務(wù)器、數(shù)據(jù)庫和應(yīng)用程序。補(bǔ)丁管理工具可以是:(1)包含在客戶端和服務(wù)器生命周期管理套件中的插件;(2)增強(qiáng)客戶端和服務(wù)器生命周期管理套件的外掛程序;(3)獨立部署的解決方案。
PC、服務(wù)器、數(shù)據(jù)庫和應(yīng)用程序有不同的補(bǔ)丁管理需求,當(dāng)企業(yè)機(jī)構(gòu)必須對多個平臺進(jìn)行打補(bǔ)丁時,這些差異就更加復(fù)雜了。但是,所有補(bǔ)丁管理工具都應(yīng)該提供以下功能:
(1) 資產(chǎn)清點:補(bǔ)丁管理工具必須清晰了解硬件、操作系統(tǒng)和軟件的資產(chǎn)清單狀況,才能確定是否需要打補(bǔ)丁,打什么樣補(bǔ)丁等問題。
(2) 補(bǔ)丁庫:補(bǔ)丁管理工具提供了一個存儲庫,用于存儲和管理環(huán)境中的相關(guān)補(bǔ)丁。大多數(shù)工具可以自動從獨立軟件供應(yīng)商(ISV)下載補(bǔ)丁,并且大多數(shù)工具都能夠存儲從其他來源獲得的補(bǔ)丁。
(3) 補(bǔ)丁分析:補(bǔ)丁管理工具需要根據(jù)業(yè)務(wù)環(huán)境和公共漏洞(如CVE評級)幫助管理員確定補(bǔ)丁部署的優(yōu)先級。此外,也有的企業(yè)組織使用漏洞評估工具來幫助確定補(bǔ)丁的優(yōu)先級。
(4) 部署和安裝:補(bǔ)丁管理工具應(yīng)該具有回滾功能以及重新啟動控件功能,并且能夠確保只在特定的維護(hù)窗口期間部署補(bǔ)丁。
(5) 報告:補(bǔ)丁管理工具必須能夠報告環(huán)境的當(dāng)前狀態(tài),并提供歷史報告。
補(bǔ)丁管理工具的核心價值是,幫助企業(yè)組織跨平臺和應(yīng)用程序快速地修補(bǔ)易受攻擊的系統(tǒng)補(bǔ)丁。大多數(shù)企業(yè)組織會自動修補(bǔ)部分IT基礎(chǔ)設(shè)施(例如,Windows PC),而對其他平臺和應(yīng)用程序則采取臨時修補(bǔ)方法。例如,許多企業(yè)組織使用本地腳本,甚至在發(fā)現(xiàn)一個關(guān)鍵漏洞時手動安裝Linux補(bǔ)丁。但這很耗時,而且常常會導(dǎo)致應(yīng)用程序未打補(bǔ)丁。自動化補(bǔ)丁管理程序的目標(biāo)之一是在特定的時間內(nèi)快速地部署補(bǔ)丁。當(dāng)然不同平臺、系統(tǒng),補(bǔ)丁修復(fù)時間也是有所不同。
需要注意的是,從安全的角度來看,補(bǔ)丁修復(fù)的速度應(yīng)該基于漏洞和威脅狀況。Unix和Linux環(huán)境兼容性問題更復(fù)雜,通常有需要更長補(bǔ)丁修復(fù)時間。
自動化補(bǔ)丁管理工具選型指南
大多數(shù)補(bǔ)丁管理工具評估標(biāo)準(zhǔn)都基于特定的技術(shù)上下文(例如服務(wù)器、終端或第三方應(yīng)用程序補(bǔ)丁)。當(dāng)然對于自動化補(bǔ)丁管理工具選擇,也有一些通用的選擇標(biāo)準(zhǔn)。企業(yè)組織應(yīng)該評估以下標(biāo)準(zhǔn),作為整體補(bǔ)丁管理評估的一部分。
集成的漏洞評估
企業(yè)組織越來越多地尋求一種綜合的方法來進(jìn)行漏洞評估和補(bǔ)丁管理。漏洞評估工具幫助識別漏洞,并將它們與補(bǔ)丁管理工具進(jìn)行關(guān)聯(lián)。過去,漏洞評估工具與修補(bǔ)工具是分開的,需要用戶自己將漏洞與補(bǔ)丁進(jìn)行關(guān)聯(lián),非常麻煩。因此,對于已經(jīng)擁有漏洞評估工具的企業(yè)組織,在考慮補(bǔ)丁管理工具時候,應(yīng)該考慮那些能夠與漏洞評估工具進(jìn)行的關(guān)聯(lián)的產(chǎn)品。
安全性配置和合規(guī)管理
一些補(bǔ)丁管理工具提供安全配置和合規(guī)管理功能,以滿足對法律法規(guī)要求或內(nèi)部配置標(biāo)準(zhǔn)的剛性需求。
部署和調(diào)度
補(bǔ)丁管理員必須能夠控制補(bǔ)丁部署的行為。評估補(bǔ)丁管理工具的企業(yè)組織應(yīng)該考慮以下功能:(1)“存儲和轉(zhuǎn)發(fā)”選項(例如,部署到一個倉庫位置并在本地重新分發(fā));(2)下載和執(zhí)行(允許節(jié)點下載補(bǔ)丁,但在稍后執(zhí)行);(3)運行安裝前和安裝后任務(wù);(4)重新啟動控件;
此外,日程安排也是一個需要重點的考慮因素。微軟在每個月的第二個星期二發(fā)布安全補(bǔ)丁(又名“補(bǔ)丁星期二”),大多數(shù)企業(yè)組織都會根據(jù)這個來計劃他們的Windows補(bǔ)丁修復(fù)。時間的細(xì)微差別可能會使基于周二補(bǔ)丁的補(bǔ)丁修復(fù)變得復(fù)雜。例如,有時候一個月的第二個星期三,在這個月的第二個星期二之前,所以管理員不能簡單地創(chuàng)建一個規(guī)則,“在這個月的第二個星期三創(chuàng)建test group”。一些補(bǔ)丁管理工具擁有日歷感知調(diào)度功能,以幫助避免這些類型的問題。
評估工具在不同平臺上執(zhí)行這些功能的方式也很重要。許多工具支持Windows,但是很少有工具提供對Linux、Unix和AIX的全面支持。
SaaS交付的補(bǔ)丁管理工具
隨著移動和終端普及,補(bǔ)丁管理工具向基于SaaS的交付模型轉(zhuǎn)移的趨勢,一些補(bǔ)丁管理供應(yīng)商提供SaaS版本。中小型企業(yè)組織也開始為數(shù)據(jù)中心服務(wù)器采用SaaS補(bǔ)丁管理工具。
當(dāng)然對于類似服務(wù)器補(bǔ)丁管理等復(fù)雜場景,在選擇補(bǔ)丁修復(fù)管理工具時候,有一些特殊的標(biāo)準(zhǔn)要求。例如針對虛擬化架構(gòu)有特定的要求。首先,管理員需要確保在必要時可以修補(bǔ)管理應(yīng)用程序。其次,虛擬服務(wù)器環(huán)境通常具有脫機(jī)VM。當(dāng)這些系統(tǒng)脫機(jī)時,它們沒有IP地址,因此通常對補(bǔ)丁工具不可見。一些補(bǔ)丁管理工具需要在脫機(jī)狀態(tài)下掃描和修補(bǔ)VM。
此外,PC終端通常是獨立的孤島,但服務(wù)器之間常常存在關(guān)系。在對它們應(yīng)用更改時必須考慮到這些關(guān)系。例如,應(yīng)用程序服務(wù)器、Web服務(wù)器和數(shù)據(jù)庫服務(wù)器都是相互依賴的,并且可能需要特定的補(bǔ)丁安裝和重啟順序。因此在選擇補(bǔ)丁管理工具,需要考慮那些可以提供工作流功能,允許管理員自動對更復(fù)雜的場景進(jìn)行補(bǔ)丁。
在服務(wù)器補(bǔ)丁管理這塊,筆者建議可以選擇基于Agent主機(jī)安全廠商相關(guān)產(chǎn)品。國內(nèi)以青藤云安全為代表新一代主機(jī)安全廠商,可以提供補(bǔ)丁的詳細(xì)信息,包括補(bǔ)丁的修復(fù)建議、修復(fù)命令、修復(fù)影響,補(bǔ)丁當(dāng)前版本和修復(fù)后版本,并提供各維度的補(bǔ)丁風(fēng)險特征,包括內(nèi)核風(fēng)險、存在exp、遠(yuǎn)程利用、本地提權(quán)、CVSS詳情、相關(guān)的CVE編號。同時,還能夠?qū)崿F(xiàn)每天默認(rèn)進(jìn)行全部主機(jī)安全補(bǔ)丁的檢查,用戶也可手動觸發(fā)全部主機(jī)的安全補(bǔ)丁的掃描,也單獨對某一臺主機(jī)進(jìn)行安全補(bǔ)丁功能的掃描。
寫在最后
青藤云安全認(rèn)為,購買了補(bǔ)丁管理工具并不能保證成功地自動化修復(fù)。企業(yè)組織必須在定義良好的上下文中使用補(bǔ)丁工具,否則自動化補(bǔ)丁可能會給業(yè)務(wù)環(huán)境帶來不穩(wěn)定性。企業(yè)組織必須有流程來控制其IT配置并防止配置偏移。
未來,最重要的補(bǔ)丁管理替代技術(shù)存在于IaaS環(huán)境中。隨著人們向“不可變基礎(chǔ)設(shè)施”思維轉(zhuǎn)變,補(bǔ)丁管理員可以通過使用新修補(bǔ)的組件重新配置應(yīng)用程序和相關(guān)基礎(chǔ)設(shè)施來“修補(bǔ)”其基礎(chǔ)設(shè)施。這將有助于確?;A(chǔ)設(shè)施是標(biāo)準(zhǔn)的和安全的。這種方法不一定能夠解決所有補(bǔ)丁管理的挑戰(zhàn),特別是圍繞應(yīng)用程序測試和兼容性問題。對于無法修補(bǔ)的系統(tǒng)和應(yīng)用程序,還是需要對應(yīng)的安全廠商解決。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 為什么年輕人不愛換手機(jī)了
- 柔宇科技未履行金額近億元被曝已6個月發(fā)不出工資
- 柔宇科技被曝已6個月發(fā)不出工資 公司回應(yīng)欠薪有補(bǔ)償方案
- 第六座“綠動未來”環(huán)保公益圖書館落地貴州山區(qū)小學(xué)
- 窺見“新紀(jì)元”,2021元宇宙產(chǎn)業(yè)發(fā)展高峰論壇“廣州啟幕”
- 以人為本,景悅科技解讀智慧城市發(fā)展新理念
- 紐迪瑞科技/NDT賦能黑鯊4 Pro游戲手機(jī)打造全新一代屏幕壓感
- 清潔家電新老玩家市場定位清晰,攜手共進(jìn),核心技術(shù)決定未來
- 新思科技與芯耀輝在IP產(chǎn)品領(lǐng)域達(dá)成戰(zhàn)略合作伙伴關(guān)系
- 芯耀輝加速全球化部署,任命原Intel高管出任全球總裁
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。