隨著軟件供應(yīng)鏈和零日漏洞攻擊日益猖獗，基于邊界的安全工具（例如防火墻、入侵防御系統(tǒng)等網(wǎng)絡(luò)安全工具）已經(jīng)力不從心，最佳緩解方式就是直接修補(bǔ)軟件和固件，這意味著補(bǔ)丁管理的重要性正與日俱增。

補(bǔ)丁管理是一項(xiàng)需要兼顧基礎(chǔ)能力、速度和靈活性的重要工作。如果沒有合適的流程和工具，補(bǔ)丁更新很容易就會(huì)滯后，可能會(huì)導(dǎo)致系統(tǒng)、應(yīng)用程序、服務(wù)、基礎(chǔ)設(shè)施以及物聯(lián)網(wǎng)設(shè)備面臨安全漏洞威脅甚至遭受攻擊，給企業(yè)帶來不必要的損失。

雖然補(bǔ)丁管理聽上去非常乏味和“低端“，但如果正確實(shí)踐可以帶來巨大的收益。以下，是網(wǎng)絡(luò)安全專家給出的十點(diǎn)補(bǔ)丁管理最佳實(shí)踐建議：

1、明確需要修補(bǔ)漏洞的范圍

確定需要修補(bǔ)的目標(biāo)及其位置。IT部門負(fù)責(zé)修補(bǔ)的終端設(shè)備、服務(wù)器、基礎(chǔ)設(shè)施組件、應(yīng)用程序和服務(wù)一直在不斷變化。它們可能位于本地、云端或互聯(lián)網(wǎng)上。制定企業(yè)級(jí)補(bǔ)丁策略的負(fù)責(zé)人必須時(shí)刻關(guān)注這些變化。雖然可以通過手動(dòng)方式追蹤IT資源，但大多數(shù)情況下使用各種設(shè)備、網(wǎng)絡(luò)和應(yīng)用程序監(jiān)控工具進(jìn)行持續(xù)監(jiān)控和清點(diǎn)會(huì)更有效。補(bǔ)丁管理清單和掃描工具還可以檢測(cè)和追蹤缺少關(guān)鍵更新的設(shè)備，確保不會(huì)遺漏任何漏洞。

2、積極與廠商保持溝通

廠商產(chǎn)品文檔對(duì)安全補(bǔ)丁相關(guān)問題的解答往往不夠詳盡，如果有疑問，最好謹(jǐn)慎行事，在進(jìn)行生產(chǎn)環(huán)境更改之前聯(lián)系廠商。雖然這可能會(huì)延長補(bǔ)丁實(shí)施時(shí)間，但總比實(shí)施補(bǔ)丁后給企業(yè)運(yùn)營帶來不必要損害或無法實(shí)現(xiàn)預(yù)期效果要好。

3、根據(jù)重要性對(duì)系統(tǒng)進(jìn)行分組

從補(bǔ)丁管理的角度來看，并非所有應(yīng)用程序、系統(tǒng)和平臺(tái)都一樣重要。例如，關(guān)鍵網(wǎng)絡(luò)和服務(wù)器基礎(chǔ)設(shè)施一旦被漏洞利用，造成的損害可能遠(yuǎn)遠(yuǎn)大于非關(guān)鍵應(yīng)用程序和服務(wù)。因此，應(yīng)仔細(xì)評(píng)估并根據(jù)重要性對(duì)系統(tǒng)進(jìn)行分類，并優(yōu)先修補(bǔ)最關(guān)鍵的系統(tǒng)。

4、創(chuàng)建標(biāo)準(zhǔn)和緊急補(bǔ)丁程序

企業(yè)補(bǔ)丁策略應(yīng)包含兩種程序：標(biāo)準(zhǔn)程序和緊急程序。

標(biāo)準(zhǔn)補(bǔ)丁程序詳細(xì)說明了常規(guī)計(jì)劃內(nèi)補(bǔ)丁更新期間的事務(wù)，包括特定的日期和維護(hù)窗口，用于為各種基礎(chǔ)設(shè)施組件接收補(bǔ)丁更新。標(biāo)準(zhǔn)計(jì)劃很重要，因?yàn)樗鼮楣芾韱T提供了工作時(shí)間表，以免補(bǔ)丁更新滯后。此外，還可以提前通知部門經(jīng)理和用戶即將進(jìn)行可能影響工作正常運(yùn)行的維護(hù)窗口。

緊急程序用于需要在標(biāo)準(zhǔn)補(bǔ)丁窗口之外安裝補(bǔ)?。ㄍǔＪ前踩a(bǔ)?。┑那闆r。這些補(bǔ)丁通常由漏洞掃描或合規(guī)性評(píng)估工具識(shí)別。應(yīng)謹(jǐn)慎使用緊急補(bǔ)丁窗口，并仔細(xì)確定觸發(fā)窗口審批的條件。緊急流程還必須包括通知受影響部門、用戶和客戶的溝通步驟和渠道。

5、了解每個(gè)供應(yīng)商的補(bǔ)丁發(fā)布計(jì)劃

操作系統(tǒng)的數(shù)量和類型、應(yīng)用程序和終端設(shè)備固件因企業(yè)而異。供應(yīng)商的補(bǔ)丁公告和發(fā)布計(jì)劃也各不相同。例如，微軟使用每月一次的補(bǔ)丁計(jì)劃（補(bǔ)丁星期二）發(fā)布其軟件補(bǔ)丁。IT管理員必須了解定期計(jì)劃的補(bǔ)丁何時(shí)發(fā)布，以及每個(gè)供應(yīng)商通知他們緊急補(bǔ)丁的流程。

6、設(shè)計(jì)和維護(hù)一個(gè)務(wù)實(shí)的補(bǔ)丁測(cè)試環(huán)境

補(bǔ)丁發(fā)布后，不能想當(dāng)然地實(shí)施，要留神補(bǔ)丁的“副作用”。管理員在將新發(fā)布的補(bǔ)丁推送到生產(chǎn)環(huán)境之前，需要安排充足的時(shí)間進(jìn)行測(cè)試。

一些補(bǔ)丁會(huì)破壞業(yè)務(wù)依賴的功能、流程或其他交互。軟件補(bǔ)丁測(cè)試環(huán)境的目的是查看補(bǔ)丁在與生產(chǎn)環(huán)境高度匹配的環(huán)境中會(huì)產(chǎn)生什么影響。然而，設(shè)計(jì)和維護(hù)這樣一個(gè)環(huán)境說起來容易做起來難。關(guān)鍵是確保測(cè)試環(huán)境與生產(chǎn)環(huán)境同步更新。對(duì)生產(chǎn)環(huán)境架構(gòu)進(jìn)行任何更改都必須事先在測(cè)試環(huán)境中進(jìn)行模擬。值得慶幸的是，服務(wù)器虛擬化和測(cè)試沙箱技術(shù)大大簡化了測(cè)試環(huán)境的搭建，成本也更低。

7、使用自動(dòng)化補(bǔ)丁管理工具

如果沒有合適的工具和流程，手動(dòng)管理各種企業(yè)服務(wù)器、設(shè)備和云端的軟件和固件補(bǔ)丁安裝的工作很快就會(huì)變得繁重不堪，這時(shí)企業(yè)需要更多借助自動(dòng)化補(bǔ)丁管理工具。近年來自動(dòng)化補(bǔ)丁管理工具日益成熟和實(shí)用，可以自動(dòng)執(zhí)行重復(fù)、繁瑣的任務(wù)，縮短補(bǔ)丁發(fā)布和實(shí)施之間的間隔。

8、報(bào)告與評(píng)估

成功應(yīng)用補(bǔ)丁后，重要的是要評(píng)估補(bǔ)丁流程中哪些地方可以改進(jìn)，通過不斷優(yōu)化補(bǔ)丁修補(bǔ)流程來提高效率。

獲取補(bǔ)丁管理結(jié)果的最佳方法是使用補(bǔ)丁管理工具的報(bào)告功能，該功能會(huì)將每次更新的結(jié)果記錄在自動(dòng)生成的報(bào)告中?？梢圆榭礆v史報(bào)告，看看是否應(yīng)該將過去的經(jīng)驗(yàn)教訓(xùn)納入補(bǔ)丁管理策略。補(bǔ)丁管理報(bào)告中的信息通常包括：

• 公司網(wǎng)絡(luò)上檢測(cè)到的設(shè)備和應(yīng)用程序清單和數(shù)量
• 已安裝的補(bǔ)丁數(shù)量
• 缺少的補(bǔ)丁數(shù)量
• 仍然存在漏洞的系統(tǒng)名稱以及漏洞程度
• 已批準(zhǔn)和已計(jì)劃的補(bǔ)丁
• 等待批準(zhǔn)的補(bǔ)丁

利用這些信息，IT管理員可以跟蹤程序性能，并進(jìn)行調(diào)整優(yōu)化來消除瓶頸或縮短周轉(zhuǎn)時(shí)間。

9、建立回滾和災(zāi)難恢復(fù)程序

即使遵循了正確的補(bǔ)丁測(cè)試程序，實(shí)施的補(bǔ)丁也可能會(huì)對(duì)生產(chǎn)環(huán)境造成意想不到的后果。強(qiáng)制要求創(chuàng)建并遵循回滾和災(zāi)難恢復(fù)過程步驟是絕對(duì)必須的。這使補(bǔ)丁實(shí)施團(tuán)隊(duì)可以快速回滾或?qū)嵤┗謴?fù)解決方案，并降低人為錯(cuò)誤的風(fēng)險(xiǎn)。

10、制定溝通和培訓(xùn)計(jì)劃

基礎(chǔ)架構(gòu)組件的補(bǔ)丁管理可能會(huì)涉及多個(gè)IT團(tuán)隊(duì)，溝通和培訓(xùn)對(duì)于成功的補(bǔ)丁管理至關(guān)重要。IT部門應(yīng)制定計(jì)劃，就補(bǔ)丁管理流程與所有利益相關(guān)者進(jìn)行溝通，包括各個(gè)IT團(tuán)隊(duì)代表、員工、承包商和供應(yīng)商。

溝通和培訓(xùn)應(yīng)涵蓋以下內(nèi)容：

• 補(bǔ)丁管理的重要性
• 補(bǔ)丁管理時(shí)間表、流程和程序
• 員工在補(bǔ)丁管理過程中的角色和職責(zé)
• 如何識(shí)別和報(bào)告安全漏洞
• 如何培訓(xùn)和保持安全意識(shí)