企业首先发布简短的免责声明。适当的补丁管理依赖于一些重要的因素,例如企业的规模、IT环境的复杂性、系统的关键程度,以及为管理所有这些而分配的资源数量,因此要进行相应的规划。此外,先设定企业已经有某种端点管理解决方案或用于部署补丁的功能。如果没有,那么就构建这样的解决方案。
假设企业有了合适的解决方案,下一步就是评估补丁并确定其优先级。
并不是所有的漏洞都是一样的,这意味着并不是所有的补丁都是一样的。但正如WannaCry等漏洞所表明的那样,延迟打补丁可能会带来灾难性的后果。因此,重要的是要优先考虑每个环境中未被取代的漏洞严重程度最高或暴露程度最高的漏洞。例如,如果企业有一个补丁只影响1000台设备中的少数设备,而另一个补丁影响80%的设备,但两个补丁都很关键,那么就首先解决可能产生最大负面影响的补丁带来的问题,然后解决另一个补丁。
一旦解决了关键的补丁,就计划转向非关键的补丁,这些补丁通常是更新的驱动程序或增强用户体验的新软件,并根据对业务运营的重要性对它们进行优先级排序。
许多人使用通用漏洞评分系统来帮助确定更新的优先级,这是一个很好的起点。需要记住,许多被评为中等严重级别的漏洞都被忽略了,并在后来发现它们是漏洞的来源。
一旦确定了更新类型的优先级,下一步就是在它们进入生产环境之前创建测试指南。
企业最不想做的就是破坏系统。首先研究更新的每个补丁的标准,并确定需要测试的组件。接下来,将每个补丁安装在根据已经证实的成功标准进行测试的5台以上离网设备上。然后把证据记录下来,让其他人进行审查。一定要查明补丁是否有卸载程序,并使用它来确保完整和安全地删除过时的程序。
如果像大多数企业一样,企业可能会计划随时进行更新大量补丁。但是,在任何给定时间安装的补丁越多,最终用户中断的风险就会增加(例如,需要下载的数据量更大,安装时间更长,系统重启等)。
因此,下一步是评估系统的带宽,根据设备和类型的总数计算补丁的总数和大小。这可以防止系统过载。如果有疑问,就计划从五次更新开始,然后重新评估带宽。
此外,如果企业遵循任何变更管理最佳实践(例如ITIL、Prince2或ServiceNow),那么遵循这些流程以获得适当的报告和可审计性是非常重要的。他们通常需要关于需要更新的文档、对用户的影响、测试证据和上线时间表。通过上述步骤正确捕获这些数据通常需要获得官方批准,因为它是唯一的事实来源。
现在已经到了部署的阶段。下一步是确保安全部署。建议在提出更改请求以及安排或审查新的补丁时使用补丁管理日历。在这里定义了要部署的更新数量和顺序的基线。这应该利用从前面步骤中收集的信息。一旦设置了基线,就可以安排部署并在必要时进行自动化。
然后进入了最后一步:衡量成功与否。这可以通过多种方式处理。例如,根据已经记录的帮助台事件的数量,可以遵循或重复该过程的难易程度,或者工具集提供的积极报告的数量。但最终重要的是快速部署、简化可重复的流程、减少人工需求,以及最终建立一个不易被利用的组织。
一些企业如今仍然允许用户拥有本地管理员权限来打补丁。这就产生了主要的攻击面,而现实情况是,IT团队都不应该依赖于最终用户来打补丁,这是因为全面的管理员权限风险太大。
有些企业还依赖免费工具,但这些工具通常无法提供修补软件漏洞所需的所有安全性。它们通常也不提供必要的报告来确保系统100%修补(即验证)。最后,过度依赖自动更新的补丁。自动更新会提供一种错误的安全感,如果在工作时间触发,还会影响工作效率。
各种规模的企业都在继续与漏洞作斗争。希望这个关于补丁管理关键注意事项的分步指南可以帮助企业创建新框架或优化现有框架。