企業(yè)首先發(fā)布簡(jiǎn)短的免責(zé)聲明。適當(dāng)?shù)难a(bǔ)丁管理依賴于一些重要的因素，例如企業(yè)的規(guī)模、IT環(huán)境的復(fù)雜性、系統(tǒng)的關(guān)鍵程度，以及為管理所有這些而分配的資源數(shù)量，因此要進(jìn)行相應(yīng)的規(guī)劃。此外，先設(shè)定企業(yè)已經(jīng)有某種端點(diǎn)管理解決方案或用于部署補(bǔ)丁的功能。如果沒有，那么就構(gòu)建這樣的解決方案。

(資料圖)

假設(shè)企業(yè)有了合適的解決方案，下一步就是評(píng)估補(bǔ)丁并確定其優(yōu)先級(jí)。

并不是所有的漏洞都是一樣的，這意味著并不是所有的補(bǔ)丁都是一樣的。但正如WannaCry等漏洞所表明的那樣，延遲打補(bǔ)丁可能會(huì)帶來災(zāi)難性的后果。因此，重要的是要優(yōu)先考慮每個(gè)環(huán)境中未被取代的漏洞嚴(yán)重程度最高或暴露程度最高的漏洞。例如，如果企業(yè)有一個(gè)補(bǔ)丁只影響1000臺(tái)設(shè)備中的少數(shù)設(shè)備，而另一個(gè)補(bǔ)丁影響80%的設(shè)備，但兩個(gè)補(bǔ)丁都很關(guān)鍵，那么就首先解決可能產(chǎn)生最大負(fù)面影響的補(bǔ)丁帶來的問題，然后解決另一個(gè)補(bǔ)丁。

一旦解決了關(guān)鍵的補(bǔ)丁，就計(jì)劃轉(zhuǎn)向非關(guān)鍵的補(bǔ)丁，這些補(bǔ)丁通常是更新的驅(qū)動(dòng)程序或增強(qiáng)用戶體驗(yàn)的新軟件，并根據(jù)對(duì)業(yè)務(wù)運(yùn)營(yíng)的重要性對(duì)它們進(jìn)行優(yōu)先級(jí)排序。

許多人使用通用漏洞評(píng)分系統(tǒng)來幫助確定更新的優(yōu)先級(jí)，這是一個(gè)很好的起點(diǎn)。需要記住，許多被評(píng)為中等嚴(yán)重級(jí)別的漏洞都被忽略了，并在后來發(fā)現(xiàn)它們是漏洞的來源。

一旦確定了更新類型的優(yōu)先級(jí)，下一步就是在它們進(jìn)入生產(chǎn)環(huán)境之前創(chuàng)建測(cè)試指南。

企業(yè)最不想做的就是破壞系統(tǒng)。首先研究更新的每個(gè)補(bǔ)丁的標(biāo)準(zhǔn)，并確定需要測(cè)試的組件。接下來，將每個(gè)補(bǔ)丁安裝在根據(jù)已經(jīng)證實(shí)的成功標(biāo)準(zhǔn)進(jìn)行測(cè)試的5臺(tái)以上離網(wǎng)設(shè)備上。然后把證據(jù)記錄下來，讓其他人進(jìn)行審查。一定要查明補(bǔ)丁是否有卸載程序，并使用它來確保完整和安全地刪除過時(shí)的程序。

如果像大多數(shù)企業(yè)一樣，企業(yè)可能會(huì)計(jì)劃隨時(shí)進(jìn)行更新大量補(bǔ)丁。但是，在任何給定時(shí)間安裝的補(bǔ)丁越多，最終用戶中斷的風(fēng)險(xiǎn)就會(huì)增加(例如，需要下載的數(shù)據(jù)量更大，安裝時(shí)間更長(zhǎng)，系統(tǒng)重啟等)。

因此，下一步是評(píng)估系統(tǒng)的帶寬，根據(jù)設(shè)備和類型的總數(shù)計(jì)算補(bǔ)丁的總數(shù)和大小。這可以防止系統(tǒng)過載。如果有疑問，就計(jì)劃從五次更新開始，然后重新評(píng)估帶寬。

此外，如果企業(yè)遵循任何變更管理最佳實(shí)踐(例如ITIL、Prince2或ServiceNow)，那么遵循這些流程以獲得適當(dāng)?shù)膱?bào)告和可審計(jì)性是非常重要的。他們通常需要關(guān)于需要更新的文檔、對(duì)用戶的影響、測(cè)試證據(jù)和上線時(shí)間表。通過上述步驟正確捕獲這些數(shù)據(jù)通常需要獲得官方批準(zhǔn)，因?yàn)樗俏ㄒ坏氖聦?shí)來源。

現(xiàn)在已經(jīng)到了部署的階段。下一步是確保安全部署。建議在提出更改請(qǐng)求以及安排或?qū)彶樾碌难a(bǔ)丁時(shí)使用補(bǔ)丁管理日歷。在這里定義了要部署的更新數(shù)量和順序的基線。這應(yīng)該利用從前面步驟中收集的信息。一旦設(shè)置了基線，就可以安排部署并在必要時(shí)進(jìn)行自動(dòng)化。

然后進(jìn)入了最后一步：衡量成功與否。這可以通過多種方式處理。例如，根據(jù)已經(jīng)記錄的幫助臺(tái)事件的數(shù)量，可以遵循或重復(fù)該過程的難易程度，或者工具集提供的積極報(bào)告的數(shù)量。但最終重要的是快速部署、簡(jiǎn)化可重復(fù)的流程、減少人工需求，以及最終建立一個(gè)不易被利用的組織。

一些企業(yè)如今仍然允許用戶擁有本地管理員權(quán)限來打補(bǔ)丁。這就產(chǎn)生了主要的攻擊面，而現(xiàn)實(shí)情況是，IT團(tuán)隊(duì)都不應(yīng)該依賴于最終用戶來打補(bǔ)丁，這是因?yàn)槿娴墓芾韱T權(quán)限風(fēng)險(xiǎn)太大。

有些企業(yè)還依賴免費(fèi)工具，但這些工具通常無法提供修補(bǔ)軟件漏洞所需的所有安全性。它們通常也不提供必要的報(bào)告來確保系統(tǒng)100%修補(bǔ)(即驗(yàn)證)。最后，過度依賴自動(dòng)更新的補(bǔ)丁。自動(dòng)更新會(huì)提供一種錯(cuò)誤的安全感，如果在工作時(shí)間觸發(fā)，還會(huì)影響工作效率。

各種規(guī)模的企業(yè)都在繼續(xù)與漏洞作斗爭(zhēng)。希望這個(gè)關(guān)于補(bǔ)丁管理關(guān)鍵注意事項(xiàng)的分步指南可以幫助企業(yè)創(chuàng)建新框架或優(yōu)化現(xiàn)有框架。

標(biāo)簽：