青藤云安全坦言：補(bǔ)丁管理并不是一個(gè)新的概念，但它仍然是所有安全和運(yùn)維人員最關(guān)注的話題之一，其重要性不言而喻。根據(jù)Gartner的權(quán)威報(bào)告顯示，當(dāng)下99%的漏洞都是安全人員一年前就知道的漏洞，并且這些漏洞都有對(duì)應(yīng)的補(bǔ)丁可以來修復(fù)它們。

因此，安全團(tuán)隊(duì)、合規(guī)團(tuán)隊(duì)和監(jiān)管人員都在推動(dòng)如何更快地進(jìn)行補(bǔ)丁修復(fù)。然而，補(bǔ)丁管理是一項(xiàng)復(fù)雜的活動(dòng)，在整個(gè)補(bǔ)丁部署過程中，必須確保應(yīng)用程序和系統(tǒng)的穩(wěn)定性。

不同平臺(tái)的補(bǔ)丁類型

如何將補(bǔ)丁迅速部署到服務(wù)器、終端PC、數(shù)據(jù)庫(kù)和應(yīng)用程序等資產(chǎn)上，已經(jīng)成為企業(yè)機(jī)構(gòu)亟需解決問題。但是相比于終端補(bǔ)丁修復(fù)，服務(wù)器和應(yīng)用程序補(bǔ)丁的修復(fù)要難得多。

服務(wù)器補(bǔ)丁管理

服務(wù)器的補(bǔ)丁管理工具需要提供補(bǔ)丁更改、安裝部署到服務(wù)器等功能。服務(wù)器管理員必須與業(yè)務(wù)線人員確保在正常業(yè)務(wù)服務(wù)不受影響的基礎(chǔ)上完成補(bǔ)丁修復(fù)工作。補(bǔ)丁管理工具要能夠在特定的維護(hù)窗口期間完成補(bǔ)丁修復(fù)，以及處理與虛擬化、基礎(chǔ)設(shè)施依賴關(guān)系和集群相關(guān)的問題。為了應(yīng)對(duì)服務(wù)器補(bǔ)丁修復(fù)的復(fù)雜性，補(bǔ)丁管理工具必須要能夠?qū)Χ鄠€(gè)平臺(tái)(如Windows、Linux、Unix、AIX和Solaris)進(jìn)行補(bǔ)丁修復(fù)，還要能夠?qū)?nèi)部數(shù)據(jù)中心和公有云上的工作負(fù)載進(jìn)行補(bǔ)丁修復(fù)。在選擇補(bǔ)丁修復(fù)管理工具的時(shí)候，要考慮到平臺(tái)復(fù)雜性、安全團(tuán)隊(duì)人員配置、IT技能和補(bǔ)丁功能需求。

第三方應(yīng)用程序打補(bǔ)丁

及時(shí)地修補(bǔ)第三方應(yīng)用程序補(bǔ)丁，已成為安全和運(yùn)維人員關(guān)注的焦點(diǎn)。有一些軟件供應(yīng)商會(huì)頻繁地發(fā)布補(bǔ)丁，而有一些軟件供應(yīng)商則很少發(fā)布補(bǔ)丁。有些應(yīng)用程序補(bǔ)丁比其他應(yīng)用更難安裝。由于IT資源有限，企業(yè)組織通常會(huì)在應(yīng)用程序補(bǔ)丁修復(fù)方面落后。但是，第三方應(yīng)用程序補(bǔ)丁工具可以為應(yīng)用程序提供企業(yè)級(jí)補(bǔ)丁，幫助管理員節(jié)省獲取、分析和重新打包補(bǔ)丁的時(shí)間。

PC客戶端補(bǔ)丁管理

大多數(shù)企業(yè)組織使用客戶端管理工具(CMTs)來修補(bǔ)Windows PC漏洞。這是由于CMTs的廣泛使用和Windows PC補(bǔ)丁的商品化。微軟通過一個(gè)包來部署整個(gè)月的安全補(bǔ)丁，這簡(jiǎn)化了補(bǔ)丁修復(fù)某些方面的工作。例如，管理員將不再需要確定一個(gè)補(bǔ)丁是否替換了另一個(gè)補(bǔ)丁。當(dāng)然這種修復(fù)方式，也會(huì)使得企業(yè)組織在應(yīng)用程序兼容性方面面臨新的挑戰(zhàn)。

補(bǔ)丁管理工具必須具備的功能

運(yùn)維人員使用補(bǔ)丁管理工具應(yīng)該能夠自動(dòng)化完成目標(biāo)系統(tǒng)的補(bǔ)丁部署、安裝，并且報(bào)告修復(fù)狀況，如PC、服務(wù)器、數(shù)據(jù)庫(kù)和應(yīng)用程序。補(bǔ)丁管理工具可以是：(1)包含在客戶端和服務(wù)器生命周期管理套件中的插件;(2)增強(qiáng)客戶端和服務(wù)器生命周期管理套件的外掛程序;(3)獨(dú)立部署的解決方案。

PC、服務(wù)器、數(shù)據(jù)庫(kù)和應(yīng)用程序有不同的補(bǔ)丁管理需求，當(dāng)企業(yè)機(jī)構(gòu)必須對(duì)多個(gè)平臺(tái)進(jìn)行打補(bǔ)丁時(shí)，這些差異就更加復(fù)雜了。但是，所有補(bǔ)丁管理工具都應(yīng)該提供以下功能：

(1) 資產(chǎn)清點(diǎn)：補(bǔ)丁管理工具必須清晰了解硬件、操作系統(tǒng)和軟件的資產(chǎn)清單狀況，才能確定是否需要打補(bǔ)丁，打什么樣補(bǔ)丁等問題。

(2) 補(bǔ)丁庫(kù)：補(bǔ)丁管理工具提供了一個(gè)存儲(chǔ)庫(kù)，用于存儲(chǔ)和管理環(huán)境中的相關(guān)補(bǔ)丁。大多數(shù)工具可以自動(dòng)從獨(dú)立軟件供應(yīng)商(ISV)下載補(bǔ)丁，并且大多數(shù)工具都能夠存儲(chǔ)從其他來源獲得的補(bǔ)丁。

(3) 補(bǔ)丁分析：補(bǔ)丁管理工具需要根據(jù)業(yè)務(wù)環(huán)境和公共漏洞(如CVE評(píng)級(jí))幫助管理員確定補(bǔ)丁部署的優(yōu)先級(jí)。此外，也有的企業(yè)組織使用漏洞評(píng)估工具來幫助確定補(bǔ)丁的優(yōu)先級(jí)。

(4) 部署和安裝：補(bǔ)丁管理工具應(yīng)該具有回滾功能以及重新啟動(dòng)控件功能，并且能夠確保只在特定的維護(hù)窗口期間部署補(bǔ)丁。

(5) 報(bào)告：補(bǔ)丁管理工具必須能夠報(bào)告環(huán)境的當(dāng)前狀態(tài)，并提供歷史報(bào)告。

補(bǔ)丁管理工具的核心價(jià)值是，幫助企業(yè)組織跨平臺(tái)和應(yīng)用程序快速地修補(bǔ)易受攻擊的系統(tǒng)補(bǔ)丁。大多數(shù)企業(yè)組織會(huì)自動(dòng)修補(bǔ)部分IT基礎(chǔ)設(shè)施(例如，Windows PC)，而對(duì)其他平臺(tái)和應(yīng)用程序則采取臨時(shí)修補(bǔ)方法。例如，許多企業(yè)組織使用本地腳本，甚至在發(fā)現(xiàn)一個(gè)關(guān)鍵漏洞時(shí)手動(dòng)安裝Linux補(bǔ)丁。但這很耗時(shí)，而且常常會(huì)導(dǎo)致應(yīng)用程序未打補(bǔ)丁。自動(dòng)化補(bǔ)丁管理程序的目標(biāo)之一是在特定的時(shí)間內(nèi)快速地部署補(bǔ)丁。當(dāng)然不同平臺(tái)、系統(tǒng)，補(bǔ)丁修復(fù)時(shí)間也是有所不同。

需要注意的是，從安全的角度來看，補(bǔ)丁修復(fù)的速度應(yīng)該基于漏洞和威脅狀況。Unix和Linux環(huán)境兼容性問題更復(fù)雜，通常有需要更長(zhǎng)補(bǔ)丁修復(fù)時(shí)間。

自動(dòng)化補(bǔ)丁管理工具選型指南

大多數(shù)補(bǔ)丁管理工具評(píng)估標(biāo)準(zhǔn)都基于特定的技術(shù)上下文(例如服務(wù)器、終端或第三方應(yīng)用程序補(bǔ)丁)。當(dāng)然對(duì)于自動(dòng)化補(bǔ)丁管理工具選擇，也有一些通用的選擇標(biāo)準(zhǔn)。企業(yè)組織應(yīng)該評(píng)估以下標(biāo)準(zhǔn)，作為整體補(bǔ)丁管理評(píng)估的一部分。

集成的漏洞評(píng)估

企業(yè)組織越來越多地尋求一種綜合的方法來進(jìn)行漏洞評(píng)估和補(bǔ)丁管理。漏洞評(píng)估工具幫助識(shí)別漏洞，并將它們與補(bǔ)丁管理工具進(jìn)行關(guān)聯(lián)。過去，漏洞評(píng)估工具與修補(bǔ)工具是分開的，需要用戶自己將漏洞與補(bǔ)丁進(jìn)行關(guān)聯(lián)，非常麻煩。因此，對(duì)于已經(jīng)擁有漏洞評(píng)估工具的企業(yè)組織，在考慮補(bǔ)丁管理工具時(shí)候，應(yīng)該考慮那些能夠與漏洞評(píng)估工具進(jìn)行的關(guān)聯(lián)的產(chǎn)品。

安全性配置和合規(guī)管理

一些補(bǔ)丁管理工具提供安全配置和合規(guī)管理功能，以滿足對(duì)法律法規(guī)要求或內(nèi)部配置標(biāo)準(zhǔn)的剛性需求。

部署和調(diào)度

補(bǔ)丁管理員必須能夠控制補(bǔ)丁部署的行為。評(píng)估補(bǔ)丁管理工具的企業(yè)組織應(yīng)該考慮以下功能：(1)“存儲(chǔ)和轉(zhuǎn)發(fā)”選項(xiàng)(例如，部署到一個(gè)倉(cāng)庫(kù)位置并在本地重新分發(fā));(2)下載和執(zhí)行(允許節(jié)點(diǎn)下載補(bǔ)丁，但在稍后執(zhí)行);(3)運(yùn)行安裝前和安裝后任務(wù);(4)重新啟動(dòng)控件;

此外，日程安排也是一個(gè)需要重點(diǎn)的考慮因素。微軟在每個(gè)月的第二個(gè)星期二發(fā)布安全補(bǔ)丁(又名“補(bǔ)丁星期二”)，大多數(shù)企業(yè)組織都會(huì)根據(jù)這個(gè)來計(jì)劃他們的Windows補(bǔ)丁修復(fù)。時(shí)間的細(xì)微差別可能會(huì)使基于周二補(bǔ)丁的補(bǔ)丁修復(fù)變得復(fù)雜。例如，有時(shí)候一個(gè)月的第二個(gè)星期三，在這個(gè)月的第二個(gè)星期二之前，所以管理員不能簡(jiǎn)單地創(chuàng)建一個(gè)規(guī)則，“在這個(gè)月的第二個(gè)星期三創(chuàng)建test group”。一些補(bǔ)丁管理工具擁有日歷感知調(diào)度功能，以幫助避免這些類型的問題。

評(píng)估工具在不同平臺(tái)上執(zhí)行這些功能的方式也很重要。許多工具支持Windows，但是很少有工具提供對(duì)Linux、Unix和AIX的全面支持。

SaaS交付的補(bǔ)丁管理工具

隨著移動(dòng)和終端普及，補(bǔ)丁管理工具向基于SaaS的交付模型轉(zhuǎn)移的趨勢(shì)，一些補(bǔ)丁管理供應(yīng)商提供SaaS版本。中小型企業(yè)組織也開始為數(shù)據(jù)中心服務(wù)器采用SaaS補(bǔ)丁管理工具。

當(dāng)然對(duì)于類似服務(wù)器補(bǔ)丁管理等復(fù)雜場(chǎng)景，在選擇補(bǔ)丁修復(fù)管理工具時(shí)候，有一些特殊的標(biāo)準(zhǔn)要求。例如針對(duì)虛擬化架構(gòu)有特定的要求。首先，管理員需要確保在必要時(shí)可以修補(bǔ)管理應(yīng)用程序。其次，虛擬服務(wù)器環(huán)境通常具有脫機(jī)VM。當(dāng)這些系統(tǒng)脫機(jī)時(shí)，它們沒有IP地址，因此通常對(duì)補(bǔ)丁工具不可見。一些補(bǔ)丁管理工具需要在脫機(jī)狀態(tài)下掃描和修補(bǔ)VM。

此外，PC終端通常是獨(dú)立的孤島，但服務(wù)器之間常常存在關(guān)系。在對(duì)它們應(yīng)用更改時(shí)必須考慮到這些關(guān)系。例如，應(yīng)用程序服務(wù)器、Web服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器都是相互依賴的，并且可能需要特定的補(bǔ)丁安裝和重啟順序。因此在選擇補(bǔ)丁管理工具，需要考慮那些可以提供工作流功能，允許管理員自動(dòng)對(duì)更復(fù)雜的場(chǎng)景進(jìn)行補(bǔ)丁。

在服務(wù)器補(bǔ)丁管理這塊，筆者建議可以選擇基于Agent主機(jī)安全廠商相關(guān)產(chǎn)品。國(guó)內(nèi)以青藤云安全為代表新一代主機(jī)安全廠商，可以提供補(bǔ)丁的詳細(xì)信息，包括補(bǔ)丁的修復(fù)建議、修復(fù)命令、修復(fù)影響，補(bǔ)丁當(dāng)前版本和修復(fù)后版本，并提供各維度的補(bǔ)丁風(fēng)險(xiǎn)特征，包括內(nèi)核風(fēng)險(xiǎn)、存在exp、遠(yuǎn)程利用、本地提權(quán)、CVSS詳情、相關(guān)的CVE編號(hào)。同時(shí)，還能夠?qū)崿F(xiàn)每天默認(rèn)進(jìn)行全部主機(jī)安全補(bǔ)丁的檢查，用戶也可手動(dòng)觸發(fā)全部主機(jī)的安全補(bǔ)丁的掃描，也單獨(dú)對(duì)某一臺(tái)主機(jī)進(jìn)行安全補(bǔ)丁功能的掃描。

寫在最后

青藤云安全認(rèn)為，購(gòu)買了補(bǔ)丁管理工具并不能保證成功地自動(dòng)化修復(fù)。企業(yè)組織必須在定義良好的上下文中使用補(bǔ)丁工具，否則自動(dòng)化補(bǔ)丁可能會(huì)給業(yè)務(wù)環(huán)境帶來不穩(wěn)定性。企業(yè)組織必須有流程來控制其IT配置并防止配置偏移。

未來，最重要的補(bǔ)丁管理替代技術(shù)存在于IaaS環(huán)境中。隨著人們向“不可變基礎(chǔ)設(shè)施”思維轉(zhuǎn)變，補(bǔ)丁管理員可以通過使用新修補(bǔ)的組件重新配置應(yīng)用程序和相關(guān)基礎(chǔ)設(shè)施來“修補(bǔ)”其基礎(chǔ)設(shè)施。這將有助于確?；A(chǔ)設(shè)施是標(biāo)準(zhǔn)的和安全的。這種方法不一定能夠解決所有補(bǔ)丁管理的挑戰(zhàn)，特別是圍繞應(yīng)用程序測(cè)試和兼容性問題。對(duì)于無法修補(bǔ)的系統(tǒng)和應(yīng)用程序，還是需要對(duì)應(yīng)的安全廠商解決。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。