優(yōu)化補丁管理流程

企業(yè)首先發(fā)布簡短的免責聲明。適當?shù)难a丁管理依賴于一些重要的因素，例如企業(yè)的規(guī)模、IT環(huán)境的復雜性、系統(tǒng)的關鍵程度，以及為管理所有這些而分配的資源數(shù)量，因此要進行相應的規(guī)劃。此外，先設定企業(yè)已經(jīng)有某種端點管理解決方案或用于部署補丁的功能。如果沒有，那么就構建這樣的解決方案。

假設企業(yè)有了合適的解決方案，下一步就是評估補丁并確定其優(yōu)先級。

并不是所有的漏洞都是一樣的，這意味著并不是所有的補丁都是一樣的。但正如WannaCry等漏洞所表明的那樣，延遲打補丁可能會帶來災難性的后果。因此，重要的是要優(yōu)先考慮每個環(huán)境中未被取代的漏洞嚴重程度最高或暴露程度最高的漏洞。例如，如果企業(yè)有一個補丁只影響1000臺設備中的少數(shù)設備，而另一個補丁影響80%的設備，但兩個補丁都很關鍵，那么就首先解決可能產(chǎn)生最大負面影響的補丁帶來的問題，然后解決另一個補丁。

一旦解決了關鍵的補丁，就計劃轉(zhuǎn)向非關鍵的補丁，這些補丁通常是更新的驅(qū)動程序或增強用戶體驗的新軟件，并根據(jù)對業(yè)務運營的重要性對它們進行優(yōu)先級排序。

許多人使用通用漏洞評分系統(tǒng)來幫助確定更新的優(yōu)先級，這是一個很好的起點。需要記住，許多被評為中等嚴重級別的漏洞都被忽略了，并在后來發(fā)現(xiàn)它們是漏洞的來源。

一旦確定了更新類型的優(yōu)先級，下一步就是在它們進入生產(chǎn)環(huán)境之前創(chuàng)建測試指南。

企業(yè)最不想做的就是破壞系統(tǒng)。首先研究更新的每個補丁的標準，并確定需要測試的組件。接下來，將每個補丁安裝在根據(jù)已經(jīng)證實的成功標準進行測試的5臺以上離網(wǎng)設備上。然后把證據(jù)記錄下來，讓其他人進行審查。一定要查明補丁是否有卸載程序，并使用它來確保完整和安全地刪除過時的程序。

如果像大多數(shù)企業(yè)一樣，企業(yè)可能會計劃隨時進行更新大量補丁。但是，在任何給定時間安裝的補丁越多，最終用戶中斷的風險就會增加(例如，需要下載的數(shù)據(jù)量更大，安裝時間更長，系統(tǒng)重啟等)。

因此，下一步是評估系統(tǒng)的帶寬，根據(jù)設備和類型的總數(shù)計算補丁的總數(shù)和大小。這可以防止系統(tǒng)過載。如果有疑問，就計劃從五次更新開始，然后重新評估帶寬。

此外，如果企業(yè)遵循任何變更管理最佳實踐(例如ITIL、Prince2或ServiceNow)，那么遵循這些流程以獲得適當?shù)膱蟾婧涂蓪徲嬓允欠浅Ｖ匾?。他們通常需要關于需要更新的文檔、對用戶的影響、測試證據(jù)和上線時間表。通過上述步驟正確捕獲這些數(shù)據(jù)通常需要獲得官方批準，因為它是唯一的事實來源。

現(xiàn)在已經(jīng)到了部署的階段。下一步是確保安全部署。建議在提出更改請求以及安排或?qū)彶樾碌难a丁時使用補丁管理日歷。在這里定義了要部署的更新數(shù)量和順序的基線。這應該利用從前面步驟中收集的信息。一旦設置了基線，就可以安排部署并在必要時進行自動化。

然后進入了最后一步：衡量成功與否。這可以通過多種方式處理。例如，根據(jù)已經(jīng)記錄的幫助臺事件的數(shù)量，可以遵循或重復該過程的難易程度，或者工具集提供的積極報告的數(shù)量。但最終重要的是快速部署、簡化可重復的流程、減少人工需求，以及最終建立一個不易被利用的組織。

快速說明補丁經(jīng)常出錯的地方

一些企業(yè)如今仍然允許用戶擁有本地管理員權限來打補丁。這就產(chǎn)生了主要的攻擊面，而現(xiàn)實情況是，IT團隊都不應該依賴于最終用戶來打補丁，這是因為全面的管理員權限風險太大。

有些企業(yè)還依賴免費工具，但這些工具通常無法提供修補軟件漏洞所需的所有安全性。它們通常也不提供必要的報告來確保系統(tǒng)100%修補(即驗證)。最后，過度依賴自動更新的補丁。自動更新會提供一種錯誤的安全感，如果在工作時間觸發(fā)，還會影響工作效率。

結論

各種規(guī)模的企業(yè)都在繼續(xù)與漏洞作斗爭。希望這個關于補丁管理關鍵注意事項的分步指南可以幫助企業(yè)創(chuàng)建新框架或優(yōu)化現(xiàn)有框架。