漏洞和補(bǔ)丁之間存在相互作用關(guān)系,它在任何大型機(jī)構(gòu)的信息安全活動(dòng)中都是必不可少的部分。找到漏洞和補(bǔ)上它們是兩個(gè)相互關(guān)聯(lián)的過程,單獨(dú)實(shí)施其中的哪一個(gè),作用都不會(huì)特別有效。
漏洞管理Tripwire 公司近期就漏洞管理中遇到的打補(bǔ)丁難題進(jìn)行了調(diào)研,這次調(diào)研的目的是面向企業(yè)中的打補(bǔ)丁問題,獲取有價(jià)值的視角,幫助我們制造更好的產(chǎn)品,降低風(fēng)險(xiǎn)。
這項(xiàng)調(diào)研詢問了483位 IT 專家對打補(bǔ)丁問題的理解。結(jié)果中有不少有趣的數(shù)據(jù)點(diǎn)可供討論:
半數(shù)受訪者認(rèn)為自家 IT 團(tuán)隊(duì)并不理解打補(bǔ)丁和修漏洞之間的區(qū)別。
對這事的反應(yīng)大致有兩種:“當(dāng)然!”和“啥?”如果沒有在漏洞識(shí)別機(jī)制上面花過些功夫,你可能也對這個(gè)問題有些困惑。事實(shí)是,整個(gè)行業(yè)總是把漏洞與補(bǔ)丁混淆在一塊,但它們不是一回事!
我們利用 CVE 號(hào)來識(shí)別已知漏洞,廠商發(fā)布的增量代碼里也會(huì)發(fā)布一些 CVE 號(hào),但它們不是一對一的關(guān)系。有時(shí)候,補(bǔ)丁不能修復(fù)所有的漏洞,或者,它們會(huì)修復(fù)某幾種平臺(tái)上的漏洞而不管其它平臺(tái);有時(shí)候補(bǔ)丁就是升級(jí),有時(shí)則不是;有時(shí)候你可以只打上一個(gè)補(bǔ)丁或者進(jìn)行一次升級(jí),就能補(bǔ)上一堆漏洞。
在看到上面這段話之后,我們很可能對打補(bǔ)丁和修漏洞兩者之間的關(guān)系感到更加困惑。通常而言,對單一的情景和單一漏洞而言,我們不會(huì)產(chǎn)生困惑,但我們還沒談到機(jī)構(gòu)需要應(yīng)對補(bǔ)丁和漏洞的數(shù)量呢。
舉一個(gè)例子來說明上述觀點(diǎn)。43%的受訪者表示,微軟被認(rèn)為是最容易打補(bǔ)丁的平臺(tái),拿它做例子再合適不過了。
2015年,微軟發(fā)布了122個(gè)平臺(tái)上的535個(gè)補(bǔ)丁,修復(fù)了501個(gè)漏洞。最樂觀的估計(jì)是,要想讓業(yè)務(wù)安全運(yùn)轉(zhuǎn),企業(yè)需要在2015年每天打上1.5個(gè)補(bǔ)丁。哪怕這些補(bǔ)丁里只有一小部分擁有我們前面提到過的復(fù)雜度,也會(huì)成為機(jī)構(gòu)難以想象的沉重?fù)?dān)子。
修漏洞和打補(bǔ)丁之間的困惑只是企業(yè)補(bǔ)丁管理周圍眾多麻煩事之中的一件。我們還沒說到分發(fā)中過程遇到的技術(shù)挑戰(zhàn)、績效審計(jì)、部門隔閡等等問題。廠商持續(xù)地推送補(bǔ)丁更新,外加各種策略,要是還沒有產(chǎn)生斷層才奇怪呢。
成熟的補(bǔ)丁管理和真正的漏洞風(fēng)險(xiǎn)防護(hù)之間存在斷層,而復(fù)雜性是一個(gè)關(guān)鍵成因。事實(shí)上,漏洞修復(fù)和給應(yīng)用打補(bǔ)丁之間的錯(cuò)位可能正是導(dǎo)致入侵事件增加的主力。
京公網(wǎng)安備 11010502049343號(hào)