补丁管理是指应用供应商发布的更新来弥补安全漏洞并优化软件及设备性能的流程。补丁管理有时被视为漏洞管理的一部分。
在实践中,补丁管理重点在于平衡网络安全与业务运营需求。黑客可能会利用企业 IT 环境中的漏洞来发起网络攻击和传播恶意软件。供应商会发布更新(称为“补丁”)来修复这些漏洞。但是,对于企业来说,打补丁的过程可能会导致工作流中断和停机。补丁管理旨在通过简化补丁部署,最大限度减少停机时间。
通过 IBM Security X-Force Threat Intelligence 指数获取洞察,以更快且更有效地做好相关准备、应对网络攻击。
注册以获取《数据泄露的代价》报告
补丁管理可创建将新补丁应用于 IT 资产的集中流程。这些补丁可以提升安全性、增强性能和提高生产力。
安全补丁往往通过修复特定漏洞来解决特定的安全风险。
黑客经常以未打补丁的资产为目标,因此如果未能应用安全更新,可能会导致企业面临安全漏洞。例如,2017 年的 WannaCry 勒索软件通过 Microsoft Windows 的一个漏洞传播(该漏洞的补丁已发布)。网络罪犯攻击了管理员疏于应用补丁的网络,感染了 150 个国家或地区超过 20 万台计算机。
一些补丁能够为应用程序和设备带来新功能。这些更新可以提升资产性能和用户生产力。
错误修复能够解决硬件或软件的小问题。这些问题通常不会导致安全问题,但确实会影响资产性能。
大多数企业发现,在每项资产一有补丁可用时就立即下载并应用每个补丁是不切实际的。这是因为打补丁需要停机。用户必须停止工作、注销,然后重新启动关键系统,才能应用补丁。
在正式的补丁管理流程中,组织能够优先处理关键更新。企业可以受益于这些补丁,同时最大限度减少对员工工作流的干扰。
根据《通用数据保护条例》(GDPR)、《健康保险流通和责任法案》 (HIPAA) 和《支付卡行业数据安全标准》(PCI-DSS) 等法规,公司必须遵循特定的网络安全实践。补丁管理可以帮助组织确保关键系统符合这些要求。
大多数企业将补丁管理视为连续的生命周期,这是因为供应商会定期发布新补丁。此外,企业的补丁需求可能会随着 IT 环境的变化而变化。
为了概述管理员和最终用户在整个生命周期中应遵循的补丁管理最佳实践,企业会起草正式的补丁管理政策。
补丁管理生命周期的各个阶段包括:
为了密切关注 IT 资源,IT 和安全团队会创建网络资产清单,其中包括第三方应用程序、操作系统、移动设备,以及远程端点和本地端点等。
IT 团队可能还会指定员工可使用的硬件和软件版本。这种资产标准化可以减少网络上不同资产类型的数量,从而有助于简化补丁流程。此外,标准化还可以防止员工使用不安全、过时或不兼容的应用程序和设备。
一旦 IT 和安全团队拥有了完整的资产清单,他们就可以关注可用补丁、跟踪资产补丁状态并识别缺少补丁的资产。
某些补丁的重要性高于其他补丁,而安全补丁尤其如此。根据 Gartner 的数据,2021 年报告了 19,093 个新漏洞,但在真实环境中,网络罪犯仅利用了其中 1,554 个漏洞(ibm.com 外部链接)。
IT 和安全团队会利用威胁情报源等资源来查明其系统中最关键的漏洞。这些漏洞的补丁优先级高于不那么至关重要的更新。
优先级排序是补丁管理策略旨在减少停机时间的关键方式之一。通过先推出关键补丁,IT 和安全团队可以保护网络安全,同时缩短资源离线打补丁耗费的时间。
新补丁可能偶尔会导致问题、破坏集成或无法解决其旨在修复的漏洞。在特殊情况下,黑客甚至可以劫持补丁。例如,网络罪犯利用了 Kaseya VSA 平台的缺陷(ibm.com 外部链接),打着合法软件更新的幌子向客户传播勒索软件。
通过在安装补丁之前对其进行测试,IT 和安全团队可以在这些问题影响整个网络之前发现并解决它们。
“补丁部署”是指部署补丁的时间和方式。
补丁窗口通常设置在没有多少员工工作的时间。供应商的补丁发布活动也可能影响补丁日程安排。例如,Microsoft 通常会在周二发布补丁,一些 IT 专业人员将这一天称为“周二补丁日”。
IT 和安全团队可能会对资产分批应用补丁,而不是一次性在整个网络上推出。这样,一部分员工可以在其他员工注销打补丁时继续工作。此外,分组应用补丁还能提供在问题波及整个网络之前发现问题的最后机会。
补丁部署可能还包括在打补丁后进行资产监控以及撤消任何导致意外问题的更改的计划。
为确保补丁合规性,IT 和安全团队会以文档形式记录补丁流程,包括测试结果、部署结果以及任何仍需打补丁的资产。这些文档可以让资产清单即时更新,并可在审计时作为符合网络安全法规的证明。
由于补丁管理生命周期非常复杂,因此组织经常设法简化补丁。一些企业将补丁流程完全外包给托管服务提供商 (MSP)。在内部自行处理补丁的公司会使用补丁管理软件来自动执行大部分流程。
大多数补丁管理软件都与 Windows、Mac 和 Linux 等常见操作系统集成。这些软件会监控资产是否缺少补丁,以及是否有补丁可用。如果有补丁可用,则补丁管理解决方案可以实时或按设定的时间表自动应用这些补丁。为节省带宽,许多解决方案会将补丁下载到中央服务器,然后再从中央服务器将补丁分发到网络资产。一些补丁管理软件还可以自动进行测试、文档记录,并可在和补丁出现故障的情况下自动进行系统回滚。
补丁管理工具可以是独立的软件,但往往作为更大的网络安全解决方案的一部分提供。许多漏洞管理和攻击面管理解决方案往往会提供补丁管理功能,例如资产清单和自动补丁部署。许多端点检测和响应 (EDR) 解决方案也可以自动安装补丁。一些组织使用统一终端管理 (UEM) 平台来为本地设备和远程设备打补丁。
有了自动化补丁管理,组织不再需要手动监控、批准和应用每个补丁。这可以减少因用户无暇安装而未应用的关键补丁数量。