如何制定一個可落地的漏洞補丁管理策略?
凡事難得盡善盡美,軟件程序更是如此。安全廠商發布的眾多軟件和固件中不可避免地會存在各種安全漏洞和功能缺陷。但如果企業用戶能夠采取合適的策略和機制,就可以解決這些缺陷可能造成的安全問題。企業如果采取正確有效的補丁管理策略,不僅可確保業務軟件和底層基礎架構沒有錯誤和漏洞,還可以通過這種循序漸進的策略降低大型的網絡威脅風險,補丁管理策略實施過程中完備的記錄結果,也有助于企業進行后續的回顧管理和安全審核。
為什么需要補丁管理策略?
補丁管理策略是一份IT安全管理方案,概述了對企業網絡軟硬件定期維護的流程和方法;同時也是一套框架,可幫助企業安全團隊識別和采用所需的各種系統更新和應用軟件,明確補丁代碼的來源,并了解哪些設備需要更新、為何更新,同時掌握記錄更新的具體過程以供將來參考。企業環境中的補丁管理策略涵蓋眾多的IT/OT資產、系統和應用軟件,具體如下:
?設備端點操作系統
?服務器操作系統
?物聯網固件
?運營軟件
?虛擬化平臺
?網絡和設備外設
?網絡部件
?應用軟件
?數據庫
?存儲平臺
?統一通信系統
?IT管理和監控工具等
采用補丁管理策略,在企業內的各種IT/OT系統上為軟件和固件打補丁后,可以為這些系統軟件增加新的功能特性,修復無意中造成系統性能和可操作性問題的代碼,還可以修補潛在的可被攻擊者篡改利用的各種信息安全漏洞。此外,缺少適當的補丁會帶來眾多網絡安全問題,包括數據盜竊、丟失以及DDoS攻擊等。
補丁管理策略需要哪些環節?
有效的補丁管理策略應明確企業中的哪些系統需要打補丁、為何打補丁、怎么打補丁。與這些系統相關的所有工作人員在打補丁的過程中要嚴格遵循制定好的補丁管理策略,否則會出現許多問題,從而影響IT/OT系統的可用性。
圖1. 完整的補丁管理策略流程
為IT/OT系統打補丁是一個生命周期管理過程,該流程的速度取決于相關系統本身以及該補丁對公司業務的潛在影響。該補丁在系統性能、可用性或安全方面的影響越大,打補丁的速度就必須越快,補丁管理策略大體包括以下幾個環節:
識別系統:在執行策略方案前,企業首先要清點整個企業網絡,以識別可以打補丁且應該打補丁的所有技術組件,并對這些系統和應用軟件進行分類。
收集補丁信息:清點補丁策略涵蓋的IT系統有助于確定何時需要對補丁進行更新、在何處查找和下載補丁。這個環節會包含許多子流程和工具,比如使用安全漏洞掃描、計劃的補丁管理審計、廠商補丁通知公告,以及分析錯誤、功能或漏洞帶來的影響。
確定補丁優先級:收集信息后,應先根據企業面臨的風險反饋報告,確定軟件和固件補丁的優先級,并安排部署時間。比如說,旨在修復嚴重漏洞的補丁具有更高的優先級,需要比修復非嚴重漏洞或改進功能的補丁更快地部署。
請求和批準補丁:負責打補丁的人員在實施打補丁的工作流程時需要按環節更新軟件請求維護窗口,這個環節需要嚴格遵循具體的部署要求。
部署補丁:部署補丁的工作將在指定的維護窗口時間內,逐步完成補丁請求和批準環節中概述的軟件更新。
監控補丁結果:無論補丁大小,補丁完成后都必須及時監控更新后的系統和應用軟件,以驗證補丁是否修復了特定問題,或者是否存在意外的負面影響,以免危害業務運營。一旦出現了嚴重的負面問題,就需要將執行補丁請求和批準環節中概述的回滾步驟,以恢復更改。
記載補丁結果:無論補丁是否成功,都要將這些流程完整地記入系統更新日志,并附上有關補丁安裝結果的信息,以及該補丁所涉及的所有建議或注意事項,這些信息有助于簡化將來的系統更新。
圖2.衡量企業補丁管理策略整體成效的關鍵績效指標
制定補丁管理策略的正確步驟
企業在制定補丁管理策略時,應采取以下步驟:
1. 制定對軟件和系統設備進行識別、分類的流程方案;
2. 確定為各類別軟件、設備打補丁的負責人;
3. 記載如何使用工具、流程和外部資源,以查找相關漏洞、錯誤和功能更新;
4. 制定一份補丁更改請求模板以及批準流程和回滾程序;
5. 擬定各系統進行補丁工作的生命周期時間表,為保證各業務的正常進行和企業的網絡安全,必須按照時間表迅速的進行補丁部署;
6. 制定一套監測流程,以監控補丁結果以及哪些負面影響會觸發回滾;
7. 制定補丁結果文檔模板,以便在每個補丁維護窗口后使用。
