补丁管理是应用供应商发布的更新来弥补安全漏洞并优化软件和设备性能的过程。补丁管理有时被视为漏洞管理的一部分。实际上,补丁管理就是在网络安全和业务运营需求之间取得平衡。黑客可以利用公司 IT 环境中的漏洞发起网络攻击并传播恶意软件。供应商发布更新(称为“补丁”)来修复这些漏洞。但是,修补过程可能会中断工作流程并导致业务停机。补丁管理旨在通过简化补丁部署来最大限度地减少停机时间。
补丁管理创建了一个将新补丁应用于IT资产的集中流程。这些补丁可以提高安全性、增强性能并提高生产力。
安全更新
安全补丁通常是通过修复特定的漏洞来解决特定的安全风险。
黑客经常以未打补丁的资产为目标,因此未能应用安全更新可能会使公司面临安全漏洞。例如,2017年的WannaCry勒索软件通过Microsoft Windows漏洞传播,而该漏洞已发布补丁。网络犯罪分子攻击了管理员未打补丁的网络,感染了150个国家/地区的20多万台计算机。
功能更新
一些补丁为应用程序和设备带来了新功能。这些更新可以提高资产性能和用户生产力。
错误修复
错误修复可解决硬件或软件中的小问题。通常,这些问题不会导致安全问题,但会影响资产性能。
最大程度减少停机时间
大多数公司发现,在补丁可用后立即下载并应用每个资产的所有补丁是不切实际的。这是因为修补需要停机时间。用户必须停止工作、注销并重新启动关键系统才能应用补丁。
正式的补丁管理流程允许组织优先考虑关键更新。公司可以在最大程度上减少对员工工作流程的干扰的情况下,获得这些补丁带来的好处。
监管合规性
根据《通用数据保护条例》(GDPR)、《健康保险流通与责任法案》(HIPAA)和《支付卡行业数据安全标准》(PCI-DSS)等法规,公司必须遵循某些网络安全实践。补丁管理可以帮助组织确保关键系统符合这些规定。
大多数公司将补丁管理视为一个持续的生命周期。这是因为供应商会定期发布新补丁。此外,公司的补丁需求可能会随着其 IT 环境的变化而变化。
为了概述管理员和最终用户在整个生命周期内应遵循的补丁管理最佳实践,公司起草了正式的补丁管理政策。
补丁管理生命周期的阶段包括:
1. 资产管理
为了密切关注 IT 资源,IT 和安全团队创建了网络资产清单,例如第三方应用程序、操作系统、移动设备以及远程和本地端点。
IT 团队还可以指定员工可以使用的硬件和软件版本。这种资产标准化可以通过减少网络上不同资产类型的数量来帮助简化修补过程。标准化还可以防止员工使用不安全、过时或不兼容的应用程序和设备。
2. 补丁监控
一旦 IT 和安全团队拥有完整的资产清单,他们就可以留意可用的补丁,跟踪资产的补丁状态,并识别缺少补丁的资产。
3. 补丁优先级
有些补丁比其他补丁更重要,尤其是在安全补丁方面。根据Gartner的数据,2021 年报告了19,093个新漏洞,但网络犯罪分子在野外仅利用了其中的1,554个(链接位于 ibm.com 外部)。
IT 和安全团队使用威胁情报源等资源来查明系统中最严重的漏洞。这些漏洞的补丁优先于不太重要的更新。
优先级是补丁管理策略旨在减少停机时间的关键方法之一。通过首先推出关键补丁,IT 和安全团队可以保护网络,同时缩短资源离线修补的时间。
4. 斑贴测试
新补丁有时可能会导致问题、破坏集成或无法解决其旨在修复的漏洞。黑客甚至可以在特殊情况下劫持补丁。2021年,网络犯罪分子利用Kaseya的VSA平台中的一个漏洞,以合法软件更新为幌子向客户传播勒索软件。
通过在安装补丁之前进行测试,IT 和安全团队旨在在这些问题影响整个网络之前检测并修复它们。
5. 补丁部署
“补丁部署”指的是补丁的部署时间和部署方式。
补丁窗口通常设置在员工很少或没有员工上班的时间。供应商的补丁发布也可能影响补丁计划。例如,微软通常在星期二发布补丁,一些 IT 专业人士将这一天称为“星期二补丁日”。
IT 和安全团队可能会批量应用补丁,而不是一次性将补丁推广到整个网络。这样,一些员工可以继续工作,而其他员工则可以下线进行补丁。分组应用补丁还可以提供最后一次机会,在问题影响整个网络之前检测出问题。
补丁部署还可能包括补丁后监控资产的计划以及撤消任何导致意外问题的更改的计划。
6. 补丁文档
为了确保补丁合规性,IT 和安全团队会记录修补过程,包括测试结果、部署结果以及仍需修补的任何资产。此文档可使资产清单保持更新,并在审计时证明符合网络安全法规。
大多数补丁管理软件都与 Windows、Mac 和 Linux 等常见操作系统集成。该软件会监控资产中是否存在缺失和可用的补丁。如果有可用的补丁,补丁管理解决方案可以自动实时或按设定的时间表应用它们。为了节省带宽,许多解决方案会将补丁下载到中央服务器,然后从那里分发给网络资产。如果补丁出现故障,某些补丁管理软件还可以自动执行测试、文档编制和系统回滚。
补丁管理工具可以是独立软件,但它们通常作为大型网络安全解决方案的一部分提供。许多漏洞管理和攻击面管理解决方案提供补丁管理功能,如资产清单和自动补丁部署。许多端点检测和响应 (EDR) 解决方案也可以自动安装补丁。一些组织使用统一端点管理 (UEM)平台来修补本地和远程设备。
借助自动化补丁管理,组织不再需要手动监控、批准和应用每个补丁。这可以减少因用户找不到方便的时间安装而未应用的关键补丁数量。
— 欢迎关注
原文始发于微信公众号(祺印说信安):网络安全知识:什么是补丁管理?
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论