随着软件供应链和零日漏洞攻击日益猖獗,基于边界的安全工具(例如防火墙、入侵防御系统等网络安全工具)已经力不从心,最佳缓解方式就是直接修补软件和固件,这意味着补丁管理的重要性正与日俱增。
补丁管理是一项需要兼顾基础能力、速度和灵活性的重要工作。如果没有合适的流程和工具,补丁更新很容易就会滞后,可能会导致系统、应用程序、服务、基础设施以及物联网设备面临安全漏洞威胁甚至遭受攻击,给企业带来不必要的损失。
虽然补丁管理听上去非常乏味和“低端“,但如果正确实践可以带来巨大的收益。以下,是网络安全专家给出的十点补丁管理最佳实践建议:
1、明确需要修补漏洞的范围
确定需要修补的目标及其位置。IT部门负责修补的终端设备、服务器、基础设施组件、应用程序和服务一直在不断变化。它们可能位于本地、云端或互联网上。制定企业级补丁策略的负责人必须时刻关注这些变化。虽然可以通过手动方式追踪IT资源,但大多数情况下使用各种设备、网络和应用程序监控工具进行持续监控和清点会更有效。补丁管理清单和扫描工具还可以检测和追踪缺少关键更新的设备,确保不会遗漏任何漏洞。
2、积极与厂商保持沟通
厂商产品文档对安全补丁相关问题的解答往往不够详尽,如果有疑问,最好谨慎行事,在进行生产环境更改之前联系厂商。虽然这可能会延长补丁实施时间,但总比实施补丁后给企业运营带来不必要损害或无法实现预期效果要好。
3、根据重要性对系统进行分组
从补丁管理的角度来看,并非所有应用程序、系统和平台都一样重要。例如,关键网络和服务器基础设施一旦被漏洞利用,造成的损害可能远远大于非关键应用程序和服务。因此,应仔细评估并根据重要性对系统进行分类,并优先修补最关键的系统。
4、创建标准和紧急补丁程序
企业补丁策略应包含两种程序:标准程序和紧急程序。
标准补丁程序详细说明了常规计划内补丁更新期间的事务,包括特定的日期和维护窗口,用于为各种基础设施组件接收补丁更新。标准计划很重要,因为它为管理员提供了工作时间表,以免补丁更新滞后。此外,还可以提前通知部门经理和用户即将进行可能影响工作正常运行的维护窗口。
紧急程序用于需要在标准补丁窗口之外安装补丁(通常是安全补丁)的情况。这些补丁通常由漏洞扫描或合规性评估工具识别。应谨慎使用紧急补丁窗口,并仔细确定触发窗口审批的条件。紧急流程还必须包括通知受影响部门、用户和客户的沟通步骤和渠道。
5、了解每个供应商的补丁发布计划
操作系统的数量和类型、应用程序和终端设备固件因企业而异。供应商的补丁公告和发布计划也各不相同。例如,微软使用每月一次的补丁计划(补丁星期二)发布其软件补丁。IT管理员必须了解定期计划的补丁何时发布,以及每个供应商通知他们紧急补丁的流程。
6、设计和维护一个务实的补丁测试环境
补丁发布后,不能想当然地实施,要留神补丁的“副作用”。管理员在将新发布的补丁推送到生产环境之前,需要安排充足的时间进行测试。
一些补丁会破坏业务依赖的功能、流程或其他交互。软件补丁测试环境的目的是查看补丁在与生产环境高度匹配的环境中会产生什么影响。然而,设计和维护这样一个环境说起来容易做起来难。关键是确保测试环境与生产环境同步更新。对生产环境架构进行任何更改都必须事先在测试环境中进行模拟。值得庆幸的是,服务器虚拟化和测试沙箱技术大大简化了测试环境的搭建,成本也更低。
7、使用自动化补丁管理工具
如果没有合适的工具和流程,手动管理各种企业服务器、设备和云端的软件和固件补丁安装的工作很快就会变得繁重不堪,这时企业需要更多借助自动化补丁管理工具。近年来自动化补丁管理工具日益成熟和实用,可以自动执行重复、繁琐的任务,缩短补丁发布和实施之间的间隔。
8、报告与评估
成功应用补丁后,重要的是要评估补丁流程中哪些地方可以改进,通过不断优化补丁修补流程来提高效率。
获取补丁管理结果的最佳方法是使用补丁管理工具的报告功能,该功能会将每次更新的结果记录在自动生成的报告中。可以查看历史报告,看看是否应该将过去的经验教训纳入补丁管理策略。补丁管理报告中的信息通常包括:
- 公司网络上检测到的设备和应用程序清单和数量
- 已安装的补丁数量
- 缺少的补丁数量
- 仍然存在漏洞的系统名称以及漏洞程度
- 已批准和已计划的补丁
- 等待批准的补丁
利用这些信息,IT管理员可以跟踪程序性能,并进行调整优化来消除瓶颈或缩短周转时间。
9、建立回滚和灾难恢复程序
即使遵循了正确的补丁测试程序,实施的补丁也可能会对生产环境造成意想不到的后果。强制要求创建并遵循回滚和灾难恢复过程步骤是绝对必须的。这使补丁实施团队可以快速回滚或实施恢复解决方案,并降低人为错误的风险。
10、制定沟通和培训计划
基础架构组件的补丁管理可能会涉及多个IT团队,沟通和培训对于成功的补丁管理至关重要。IT部门应制定计划,就补丁管理流程与所有利益相关者进行沟通,包括各个IT团队代表、员工、承包商和供应商。
沟通和培训应涵盖以下内容:
- 补丁管理的重要性
- 补丁管理时间表、流程和程序
- 员工在补丁管理过程中的角色和职责
- 如何识别和报告安全漏洞
- 如何培训和保持安全意识
企业补丁管理的最佳实践涉及明确目标和范围、创建详细的管理策略、采用自动化工具、持续监控和评估、及时更新和备份、定期扫描和修复,以及重视计划而非仅仅是技术等方面【我们看到NIST的新版企业补丁管理指南强调,重点是如何从补丁管理计划中受益,而不是补丁管理技术。这意味着组织应该更加关注制定有效的补丁管理策略,而不是单纯依赖于技术手段。】这些实践有助于提高系统的安全性和稳定性,降低网络威胁风险。
以上信息整合了goupsec的文章,在最底部增加了一些说明,新增部分涉及了新的内容,做参考。
暂无评论内容