漏洞管理通过定位漏洞、实施安全控制来修复或保护这些漏洞,然后测试修复以验证漏洞解决情况,从而改善所有 IT 系统的安全态势。
补丁管理是漏洞管理的子集,适用于第三方供应商,并使用供应商发布的补丁来更新第三方系统。
尽管漏洞和补丁管理之间关系密切,但工作中常常被混淆,因为一些营销策略模糊了定义和产品名称,以便更好地匹配产品的功能。本文将简述补丁管理和漏洞管理之间的差异,并提供一些入门这些关键网络安全实践的指导。
主要区别:补丁管理与漏洞管理
补丁管理是良好漏洞管理的一个组成部分,主要针对第三方供应商系统中的已知漏洞。第三方供应商系统包括操作系统 (OS)、固件(安装在硬件上的软件)和应用程序。
补丁管理应被视为任何组织的最低能力,尽管在庞大的环境中跟上补丁可能非常困难。即使是消费者和技术水平较低的员工也在一定程度上了解补丁管理,因为微软 (Windows 10+)、苹果 (iOS、macOS) 和谷歌 (Android、Chrome 等) 会定期推出自动补丁。
漏洞管理的范围不仅限于已知的第三方漏洞,还包括更广泛的问题,包括不正确的安装、配置错误、安全漏洞、使用过时的协议、架构问题和其他错误。具有已知漏洞的传统技术也属于漏洞管理范围,无论是否正式承认,组织都会通过继续使用这些易受攻击的技术来接受其固有风险。
许多漏洞(例如遗留技术)无法使用补丁修复。相反,漏洞管理会创建、实施和维护补偿控制来保护已知漏洞。虚拟补丁是一种补偿控制,使用入侵防御系统 (IPS) 功能来屏蔽漏洞,但也可以部署其他技术,例如更改防火墙规则、添加网络分段和白名单。漏洞管理使用定期、主动的测试来定位新漏洞并持续跟踪旧漏洞。
主要区别:补丁和漏洞管理 | ||
---|---|---|
类别 | 补丁管理 | 漏洞管理 |
范围 | 第三方供应商操作系统、软件、固件 | 所有 IT 系统、配置、连接和安全控制 |
频率 | 通常是每月一次,与微软的修补计划一致 | 可以连续进行,但至少应每季度一次(对于最小的组织而言,或每年一次) |
发现 | 主要通过供应商公告 | 主要通过测试和扫描 |
补救措施 | 下载并应用供应商创建的补丁 | 开发配置修正、补偿控制和额外安全层的修复程序 |
记录保存和报告 | 每月补丁应用情况、补丁失败的设备、补丁时间 | 当前漏洞优先列表、补偿控制状态、漏洞和渗透扫描结果 |
合规性要求吗? | 是的 | 常规工作 |
什么是补丁管理?
补丁管理旨在通过获取、测试和应用第三方软件更新(又称补丁)来保持 IT 设备处于最佳状态并在可用时添加功能。补丁管理提供了对补丁进行优先级排序、测试和应用的过程,以实现最佳 IT 状态并最大限度地减少运营中断。
组织需要确保其补丁管理流程涵盖所有系统,而不仅仅是常见的 Windows 和 macOS 笔记本电脑和台式机。可能需要多个补丁管理解决方案来覆盖 Linux 服务器、网络设备、已安装的软件以及属于物联网 (IoT)、医疗技术 (medtech)、工业控制系统 (ICS)、运营技术 (OT) 或工业物联网 (IIoT) 的全系列无操作系统设备。
补丁管理周期
补丁管理的主要步骤
-
通过资产发现或IT 资产管理(ITAM)定义 IT 环境,以确定要监控更新的端点、服务器、容器、网络设备、物联网 (IoT)、软件和其他系统 -
通过以下方式发现潜在漏洞和可用补丁 -
威胁源
-
供应商电子邮件
-
供应商网站
-
行业网站
-
确定优先级并评估漏洞 -
根据严重程度和对组织的风险确定补丁的优先级
-
监控供应商是否有补丁来修复漏洞(如果没有可用的补丁,则启动漏洞管理流程)
-
制定并实施修复措施 -
从合法且经过验证的来源获取更新补丁
-
测试补丁并应用测试补丁
-
评估潜在的运营中断,并在发生重大中断时通知受影响的利益相关者
-
应用补丁并监控问题
-
测试与报告 -
测试已修补的系统以验证补丁是否正确应用
-
如果发生不可接受的中断,则回滚补丁,将其视为无法修复的漏洞,直到发布更好的补丁
-
生成供内部使用和合规的报告
什么是漏洞管理?
与补丁管理类似,漏洞管理旨在保持 IT 设备的最佳状态,但还将这一原则扩展到所有 IT 系统,包括网络连接、安全控制系统和配置。漏洞管理需要进行测试以验证 IT 系统状态并检测配置错误、安全漏洞和其他意外问题。
漏洞管理的主要步骤
-
通过以下方式定义IT环境 -
资产发现,以确定要测试和监控的端点、服务器、容器、网络设备、物联网 (IoT)、软件和其他系统
-
绘制并绘制网络连接、网络安全控制和其他系统以进行测试和检查
-
通过以下方式发现潜在漏洞 -
漏洞测试和漏洞扫描(网络、端点、云系统、容器、应用程序等)
-
渗透测试
-
威胁源
-
供应商电子邮件
-
供应商网站
-
行业网站
-
确定优先级并评估漏洞 -
根据严重程度和对组织的风险对漏洞进行排序
-
哪些漏洞有可用补丁
-
如果没有可用的补丁,可以通过修复程序(简单或复杂)进行纠正
-
如果没有可用的补丁或修复,可以实施哪些补偿控制来降低风险
-
制定并实施修复措施 -
确定所需的修复,例如补丁、配置更正或补偿控制
-
如果修复需要中断运营,请通知受影响的利益相关者并安排停机时间
-
实施修复
-
测试与报告 -
测试修复,以确保补丁、修正或控制措施已正确安装,没有产生意外漏洞,并且修复按预期工作
-
回滚导致不可接受的操作中断的修复程序,并返回修复程序的开发以重试
-
生成用于内部和合规目的的报告
漏洞和补丁管理应该一起使用吗?
许多组织都在努力进行补丁管理,因此将要求扩大到包括漏洞管理的想法可能令人生畏。然而,只要组织在攻击者之前发现漏洞,许多漏洞就可以轻松检测和修复。
自带设备 (BYOD) 的采用有助于说明联合使用的需求。考虑两台笔记本电脑,一台是远程工作人员使用的公司设备,另一台是顾问的个人笔记本电脑。两台笔记本电脑都可能存在正在被利用的操作系统漏洞,但补丁管理工具只会修复公司设备。组织将需要使用补偿控制,例如网络访问控制(NAC) 来检测未打补丁的顾问的笔记本电脑并隔离该设备,直到它被打上补丁。
如何选择补丁管理或漏洞管理解决方案
补丁管理往往是 IT 团队能够部署且仍被视为胜任的漏洞管理的最低限度的实施。然而,仅仅因为需要这样做并不意味着所有的压力和任务都必须落在 IT 或安全团队身上。
自动化补丁管理工具使IT团队能够让该工具处理简单的更新,以便IT团队可以专注于任何问题。许多小公司将常规和更困难的修补工作外包给托管 IT 服务提供商(MSP)。
希望提高漏洞管理能力的组织需要仔细评估所考虑的工具和服务。许多扫描工具(包括一些自称漏洞管理工具的工具)往往主要侧重于检测和修复未打补丁的工作站和笔记本电脑。虽然漏洞管理解决方案至关重要,但良好的漏洞管理解决方案还需要更进一步。
漏洞管理应执行更全面的系统扫描、检测错误配置、整合渗透测试和其他主动技术。一些组织将漏洞管理外包给 MSP,但其他组织则倾向于使用托管 IT 安全服务提供商(MSSP) 进行漏洞管理,以便更加注重安全。
无论是外包、选择工具还是使用内部劳动力,解决方案都应满足需求。如果服务提供商或工具仅覆盖 Windows 和 macOS 端点,则组织将需要寻找另一种解决方案,以确保覆盖 Linux 服务器、路由器、物联网和云托管的 Kubernetes 集群。
组织需要充分了解其需求以及其工具和服务的真正功能,以了解哪些任务尚未完成。无法扫描安全漏洞、开放端口、配置错误和其他非修补问题的漏洞扫描工具或漏洞管理工具需要由内部专家或顾问来补充,他们可以使用红队、渗透测试和更复杂的漏洞扫描来定位这些问题。
底线:对补丁和漏洞管理进行投资
各种规模的组织都应尽早实施其资源允许的最强大的修补或漏洞管理解决方案。未被发现或被忽略的漏洞最终将成为日益增多的网络安全攻击的目标。自动化工具和服务通过减轻 IT 和安全团队管理简单、重复更新的负担,提供了关键的帮助并节省了成本。进一步投资专业知识以彻底测试系统并为更复杂和更困难的漏洞创建解决方案,将降低风险、减少运营停机造成的损失以及减少成功攻击造成的损害。
原文始发于微信公众号(祺印说信安):网络安全知识:区分补丁管理与漏洞管理的不同
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论