企業(yè)首先發(fā)布簡短的免責聲明。適當?shù)难a丁管理依賴于一些重要的因素,例如企業(yè)的規(guī)模、IT環(huán)境的復雜性、系統(tǒng)的關鍵程度,以及為管理所有這些而分配的資源數(shù)量,因此要進行相應的規(guī)劃。此外,先設定企業(yè)已經(jīng)有某種端點管理解決方案或用于部署補丁的功能。如果沒有,那么就構建這樣的解決方案。
假設企業(yè)有了合適的解決方案,下一步就是評估補丁并確定其優(yōu)先級。
并不是所有的漏洞都是一樣的,這意味著并不是所有的補丁都是一樣的。但正如WannaCry等漏洞所表明的那樣,延遲打補丁可能會帶來災難性的后果。因此,重要的是要優(yōu)先考慮每個環(huán)境中未被取代的漏洞嚴重程度最高或暴露程度最高的漏洞。例如,如果企業(yè)有一個補丁只影響1000臺設備中的少數(shù)設備,而另一個補丁影響80%的設備,但兩個補丁都很關鍵,那么就首先解決可能產(chǎn)生最大負面影響的補丁帶來的問題,然后解決另一個補丁。
一旦解決了關鍵的補丁,就計劃轉向非關鍵的補丁,這些補丁通常是更新的驅動程序或增強用戶體驗的新軟件,并根據(jù)對業(yè)務運營的重要性對它們進行優(yōu)先級排序。
許多人使用通用漏洞評分系統(tǒng)來幫助確定更新的優(yōu)先級,這是一個很好的起點。需要記住,許多被評為中等嚴重級別的漏洞都被忽略了,并在后來發(fā)現(xiàn)它們是漏洞的來源。
一旦確定了更新類型的優(yōu)先級,下一步就是在它們進入生產(chǎn)環(huán)境之前創(chuàng)建測試指南。
企業(yè)最不想做的就是破壞系統(tǒng)。首先研究更新的每個補丁的標準,并確定需要測試的組件。接下來,將每個補丁安裝在根據(jù)已經(jīng)證實的成功標準進行測試的5臺以上離網(wǎng)設備上。然后把證據(jù)記錄下來,讓其他人進行審查。一定要查明補丁是否有卸載程序,并使用它來確保完整和安全地刪除過時的程序。
如果像大多數(shù)企業(yè)一樣,企業(yè)可能會計劃隨時進行更新大量補丁。但是,在任何給定時間安裝的補丁越多,最終用戶中斷的風險就會增加(例如,需要下載的數(shù)據(jù)量更大,安裝時間更長,系統(tǒng)重啟等)。
因此,下一步是評估系統(tǒng)的帶寬,根據(jù)設備和類型的總數(shù)計算補丁的總數(shù)和大小。這可以防止系統(tǒng)過載。如果有疑問,就計劃從五次更新開始,然后重新評估帶寬。
此外,如果企業(yè)遵循任何變更管理最佳實踐(例如ITIL、Prince2或ServiceNow),那么遵循這些流程以獲得適當?shù)膱蟾婧涂蓪徲嬓允欠浅V匾摹K麄兺ǔP枰P于需要更新的文檔、對用戶的影響、測試證據(jù)和上線時間表。通過上述步驟正確捕獲這些數(shù)據(jù)通常需要獲得官方批準,因為它是唯一的事實來源。
現(xiàn)在已經(jīng)到了部署的階段。下一步是確保安全部署。建議在提出更改請求以及安排或審查新的補丁時使用補丁管理日歷。在這里定義了要部署的更新數(shù)量和順序的基線。這應該利用從前面步驟中收集的信息。一旦設置了基線,就可以安排部署并在必要時進行自動化。
然后進入了最后一步:衡量成功與否。這可以通過多種方式處理。例如,根據(jù)已經(jīng)記錄的幫助臺事件的數(shù)量,可以遵循或重復該過程的難易程度,或者工具集提供的積極報告的數(shù)量。但最終重要的是快速部署、簡化可重復的流程、減少人工需求,以及最終建立一個不易被利用的組織。
快速說明補丁經(jīng)常出錯的地方
一些企業(yè)如今仍然允許用戶擁有本地管理員權限來打補丁。這就產(chǎn)生了主要的攻擊面,而現(xiàn)實情況是,IT團隊都不應該依賴于最終用戶來打補丁,這是因為全面的管理員權限風險太大。
有些企業(yè)還依賴免費工具,但這些工具通常無法提供修補軟件漏洞所需的所有安全性。它們通常也不提供必要的報告來確保系統(tǒng)100%修補(即驗證)。最后,過度依賴自動更新的補丁。自動更新會提供一種錯誤的安全感,如果在工作時間觸發(fā),還會影響工作效率。
結論
各種規(guī)模的企業(yè)都在繼續(xù)與漏洞作斗爭。希望這個關于補丁管理關鍵注意事項的分步指南可以幫助企業(yè)創(chuàng)建新框架或優(yōu)化現(xiàn)有框架。
關于企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
京公網(wǎng)安備 11010502049343號