1、我們找到了長期打補丁問題背后的原因。Equifax Corp. NotPetya。想哭。這三個安全問題有一個共同點：都是公司長期不修復系統(tǒng)造成的。在這三種情況下，攻擊都使用了已發(fā)布補丁的安全漏洞，受害者未能及時應用補丁。

2、盡管許多紙上談兵的安全專家建議避免成為這些漏洞的受害者，但一旦補丁發(fā)布，它們就會立即應用。實際的IT領導認為這并不像外界想象的那么簡單。

3、那么是什么讓補丁管理變得如此復雜呢？在本月的IT專家組討論中，我們與一些專家組成員進行了交談，以了解情況。

4、補丁怎么了？

5、公司仍然難以跟上他們需要申請的補丁數(shù)量，這可能并不奇怪。自2019年初以來，只有微軟為其Windows、Office、SQL Server和Exchange Server產(chǎn)品線發(fā)布了超過1萬個更新和補丁。添加所有其他供應商和通常構成業(yè)務IT環(huán)境的供應商，并留下一個可能數(shù)十萬的補丁列表。

6、多米諾英國和愛爾蘭首席信息官保羅沃茨說：“打補丁是一個問題，原因有很多?！蔽覀兠媾R的最大挑戰(zhàn)之一是減少允許的停機時間，以便應用這些修補程序，這些修補程序現(xiàn)在變得越來越快，可能會被濫用為延遲機會的機會。"

7、正如-(安信國際EMEA網(wǎng)絡安全主管Ian Thornton-Trump)指出的，基于云的基礎設施和精益終端可以減少維護公司需要做的事情，但物聯(lián)網(wǎng)設備和物理基礎設施等內(nèi)部部署設備仍然是一個潛在問題。

8、威廉集團首席信息官Killian Faughnan反駁道：“即使有一個精益的終點，我認為它仍然是一個問題?！背悄阃耆荢aaS(在這種情況下，這是別人的問題)，否則你仍然需要維護一些東西。在某種程度上，您最終將為您的流程或桌面應用程序使用第三方工具幾乎是不可避免的(即使您完全是VDI)，您也可以為您的開發(fā)人員提供庫。"

9、薩?？舜髮W的IT主管Peter O'Rourke補充道：“當您轉向混合的本地、云和SaaS環(huán)境時，這些不同平臺之間的復雜交互數(shù)量也將呈指數(shù)級增長?！?/p>

10、這是非常重要的；補丁管理如此具有挑戰(zhàn)性的一個重要原因是，為了避免停機，IT團隊必須確保將補丁應用于系統(tǒng)不會破壞它們與任何必須使用的相互依賴的系統(tǒng)的兼容性。結合管理技術債務的挑戰(zhàn)，它可能會給有效的補丁管理帶來巨大的問題。

11、“彼得對混合物的看法非常準確。使復雜的技術債務更加嚴重，”桑頓指出。

12、“我對補丁管理的主要擔憂是它的癥狀，”Faughnan繼續(xù)說道?！霸谖铱吹窖a丁管理做得很好的公司中，我也意識到技術債務非常低或管理得很好，質(zhì)量受到高度關注，安全文化實踐非常好，價值被用來創(chuàng)造而不是創(chuàng)造收入。商業(yè)動機?！?/p>

13、對于瓦茨來說，大多數(shù)組織在補丁管理方面面臨的最大挑戰(zhàn)是遺產(chǎn)可持續(xù)性和相關的技術債務考慮。

14、他說：“當你著眼于未來時，很容易忘記過去。”當然，如前所述，SaaS和PaaS補丁管理是別人的問題3354，但你的遺產(chǎn)將處于危險之中，許多案例研究已經(jīng)證明了這些問題的痛苦細節(jié)。"

15、回應和責任

16、當補丁管理被認為是“別人的問題”時，“別人”甚至可能不是外部提供者——。它可能是另一個業(yè)務部門。這會滋生你自己的問題。

17、“我認為除了補丁管理和IT交付功能之外，肯定會有其他問題的討論，”O(jiān)'Rourke說?！吧潭ǚ椒ǖ膶嵤贗T內(nèi)部進行，但風險和投資案例是否可能位于組織的其他地方？”

18、桑頓-他對IT部門正在進行的補丁流程和安全監(jiān)控感到滿意，但他指出，設定期望值和SLA是關鍵?！皢栴}是，操作人員應該是專家。如果你不是領導者，你將陷入地盤之爭和指責游戲，”他說。“你毀了這一切，因為你不認識一個人?！?/p>

19、Faughnan同意這一點，但他補充說，補丁管理最終將在必要時在一定程度上轉移給應用程序所有者或業(yè)務團隊。

20、“在我以前的生活中，我獲得了補丁管理的所有權，”他解釋道?！半m然我們確實在整個業(yè)務中修改了補丁級別，但還是遇到了伊恩之前提到的問題?！獞贸绦蛩姓咝枰艞壱恍r間來測試補丁，這需要時間來完成補丁的發(fā)布。企業(yè)主和團隊也有同樣的問題?！?/p>

21、這是一個老問題：IT和業(yè)務經(jīng)常看不到他們的眼睛。在愛爾蘭父系姓氏之前使用

22、Rourke認為，在大多數(shù)情況下，更廣泛的業(yè)務仍然不了解有效補丁的價值，并且仍然很難獲得必要的停機時間和資源。他說，他的核心信念是，合規(guī)風險，包括與補丁管理相關的風險，必須由整個組織來承擔。

23、“彼得百分之百正確。它不能只落在IT的肩上，”桑頓說。“信息技術可能擁有服務器，但企業(yè)擁有數(shù)據(jù)，它們需要成為管理戰(zhàn)略的一部分?！?/p>

24、與此同時，福南對這種方法的真實性更加懷疑。"我同意這個理論，但是有人看到它在實踐中起作用了嗎？"他問。他說，根據(jù)他的經(jīng)驗

25、Thornton-Trump報道了該領域的一些初步成功，并解釋說他已說服該公司的三個業(yè)務部門將其十大最關鍵應用程序列表匯總到災難恢復目的。“他們花了一段時間，”他說。“但現(xiàn)在我列出了30個最關鍵的應用程序。這是一個開始，但需要合作和信任的精神。”

26、雖然Faughnan認識到這些努力的價值，但他對長期有效性持懷疑態(tài)度。

27、“我認為，維持穩(wěn)定的補丁合規(guī)計劃需要嵌入式文化，”他說。“我同意伊恩和彼得的觀點;這只是我提出的可持續(xù)性問題。你們兩個顯然讓事情朝著正確的方向發(fā)展，從前面通過事物的聲音引導。所以擔心的是，當你發(fā)生什么事情時或其他駕駛人士離開?“

28、冒險生意

29、補丁管理和合規(guī)性之間的這種關系是Watts也在努力解決的問題，特別是當涉及到讓更廣泛的企業(yè)理解與未修補的設備相關的風險時，企業(yè)會像IT一樣感受到風險的負擔。

30、“如果一個系統(tǒng)沒有修補，其債務也會產(chǎn)生風險，而且業(yè)務可以指責IT，它必須認識到潛在的商業(yè)風險和影響是他們自己和他們自己的，”他說。“企業(yè)應該對IT施加壓力，以確保其風險得到充分管理，而補丁和漏洞管理是管理風險的關鍵控制措施。”

31、“這對我來說很有趣，業(yè)務似乎更擔心與修補相關的停機時間，而不是來自未修補基礎設施的存在主義網(wǎng)絡威脅，”Thornton-Trump補充道。“當你把內(nèi)心的東西帶回來時，它會讓我感到震驚，而這一切應該永遠不會在外面開始。”

32、他還建議不要同時更新固件和軟件，“一切”應該通過變更管理流程來確保順利實施。

33、“伊恩關于變革管理的觀點很好，我同意這一點，”奧羅克說。“然而，幾乎不可能保證生態(tài)系統(tǒng)的所有部分都能運行到類似的變更管理水平。隨著組織轉向效用計算，我們放棄了許多曾經(jīng)擁有的控制措施。”

34、對于Faughnan和Thornton-Trump來說，實用主義因素至關重要。以同樣的速度修補你房產(chǎn)內(nèi)的所有東西可能并不總是可行的;在這些情況下，IT團隊可以使用帕累托原則(也稱為80/20規(guī)則)等方法來確定將工作重點放在哪里。

35、“我認為可能最重要的是了解你所擁有的東西，”Faughnan說。“IT最困難的方面之一就是能夠持續(xù)準確地了解您所擁有的內(nèi)容以及它所處的狀態(tài)?？梢哉f強制標記這樣的事情使這更容易，但您總是會有一些業(yè)務領域TLC比其他人少。“

36、Thornton-Trump表示同意，并指出即使一家公司擁有完整的IT資產(chǎn)庫存，該庫存也只是一次收購或撤資，而不是不準確。

37、“絕對，”Faughnan繼續(xù)道。“在過去的幾年里，誰沒有經(jīng)歷過這樣的一個?如果不是幾個!我認為我們所有人都傾向于區(qū)分'補丁管理'和'補丁合規(guī)'是非常重要的;前者這是一個基于“補丁完美”的虛構天堂的過程，后者是我們認為我們“足夠好”的界限。“

38、禪和實用修補的藝術

39、安全公司經(jīng)常推廣補丁自動化工具作為解決這一特定挑戰(zhàn)的方法，但這些工具的適用性并未得到普遍接受。在O'Rourke的經(jīng)驗中，他們的成本過高，而Watts在基礎設施層面使用它們非常謹慎。

40、“我非常警惕數(shù)據(jù)中心的自動修補，”他說，“但我當然鼓勵在端點使用它。但是，在你對自動化有信心之前，你需要采用正確的測試方案。預算和時間表都很緊張，更好的投資是自動發(fā)現(xiàn)和報告，所以至少你可以根據(jù)你的補丁工作集中的位置做出明智的基于風險的決策。“

41、Faughnan分享了這些觀點。他認為，雖然有用，但自動化也需要在錯誤可能產(chǎn)生重大有害影響的領域與人類判斷相平衡 - 這一論點以前他曾經(jīng)應用于數(shù)據(jù)科學。

42、另一方面，Thornton-Trump表示，他愿意自動化基礎設施補丁 - 在系統(tǒng)得到備份和測試環(huán)境模仿生產(chǎn)的條件下。

43、“所有這一切都表明，你需要盡可能努力地游說，以獲得合適的預算和時間來實現(xiàn)這一目標，”Watts補充道。“它應該被納入TCO預測中，作為資產(chǎn)維持生命的關鍵組成部分，以便CapEx和OpEx能夠實現(xiàn)這一目標。”

44、“在很多方面，我們應該將CI / CD管道作為自動修補的機制，”Faughnan繼續(xù)說道。“如果做得好，他們可以使用最新的第三方庫提供可靠的應用程序，掃描漏洞，并在部署之前進行測試 - 所有這些都無需人工干預。”

45、如果自動補丁工具不是答案，那么IT經(jīng)理如何優(yōu)化他們的本地補丁工作?如果他知道這一點，瓦茨說，他將是一個非常幸福的人，但他建議它需要足夠的支持。

46、“如果你采取優(yōu)先考慮的方法，那么你必須開始考慮如何保護那些需要100%合規(guī)的環(huán)境，以保護那些較少修補的環(huán)境，”他說。“但老實說，你真的不希望自己處于一個必須選擇補丁的地方而不是你不選擇的地方。”

47、Thornton-Trump認為，爭取MSP來處理端點修補可能是一項巨大的資產(chǎn)，可以騰出IT團隊來提供更有價值的服務，并專注于更棘手的數(shù)據(jù)中心補丁部署。然而，他承認在這些團隊中自然不愿意將補丁管理外包，因為這通常會導致?lián)恼麄€IT職能將很快跟進。

48、Watts目前正在調(diào)查使用托管漏洞管理服務的可能性，他表示“這將是合乎邏輯的下一步”，盡管它是“早期”。就像Thornton-Trump一樣，他的理由是外包漏洞管理將釋放其他任務的支持周期，盡管他警告說“你不能外包風險”。

49、補丁管理是一個復雜的主題，很明顯每個組織都需要一種不同的方法。但是，在最佳實踐方面存在一些常數(shù)。

50、對于Faughnan來說，文化是補丁管理的關鍵。他說，為了實現(xiàn)可持續(xù)發(fā)展，它必須成為企業(yè)DNA的一部分。與此同時，桑頓采取了更務實的觀點。他建議通過災難恢復和全面測試來降低停機風險。然而，Watts關注業(yè)務風險而非停機風險。

51、“確保不這樣做的風險由合適的人員在業(yè)務和技術中擁有。適當?shù)赝顿Y于人員，流程和技術以有效地管理修補。衡量有效性并將其轉化為風險緩解，以證明流程的合理性它的時間，成本和復雜性。“