【原】推荐！保护数据安全的七项补丁管理实践

更多全球网络安全资讯尽在E安全官网www.easyaq.com

E安全4月27日文 我们正身处一个预打包漏洞利用服务横行的时代，这意味着毫无技术经验或者能力的恶意人士也同样能够对我们的环境发动复杂的攻击。面对这一切，我们该作何反应？

修复操作系统与应用程序显然能够有效阻止一部分攻击活动，但除此之外，我们还需要采取哪些更多措施改善自动更新能力？E安全小编提供以下七项补丁管理最佳实践，凭借着这些简单但有效的方法，希望能够帮助大家将网络安全提升至新的水平。

1.使用适当的发现服务

如果不了解需要保护的对象，则安全亦无从谈起。知晓是否存在安全漏洞或者违规风险的惟一方法就是采用广泛的发现功能。

正确的发现服务需要将主动与被动发现能力加以结合，同时着眼于网络的物理、虚拟与外部系统访问机制。E安全小编建议您整理出当前生产系统相关信息清单，具体包括IP地址、操作系统类型、版本以及物理位置等等......以上这些将帮助您更有针对性地定期清点网络体系并进行更新补丁管理工作，除此之外还可以明确相关责任人及其联系方式，方便审查和责任落实。

在运维环境中，单独一台计算机在错过正确补丁之后，即有可能对整体网络的稳定性造成威胁，甚至破坏其正常运作能力。

2.使用异构操作系统平台支持

在着手创建清单并使用正确的发现工具时，大家亦有必要确保将广泛的供应商与操作系统纳入其中。Windows已经不再是惟一的首选操作系统，因此如果您只能支持Windows环境，那么安全将不复存在。苹果Mac在全球众多企业的最终用户中普遍存在，而MacOS同样易受到恶意软件的针对性攻击。

根据JAMF 2015年调查发现，96%的企业IT专业人员支持Mac设备。其它操作系统也正在引起广泛关注。Linux与Unix在大型企业的数据中心当中占据5%到35%份额，而Ubuntu作为一款Linux发行版亦在最终用户群体中越来越多地受到青睐。您应当酌情在补丁管理策略当中将上述操作系统类型选择性的纳入支持。

3.执行应用程序补丁安装

虽然许多企业已经开始实施操作系统平台支持与发现服务，但仍有一部分仅能够支持来自特定供应商的操作系统与应用程序，而忽视了第三方软件的保护工作。以Windows为例，多达80%的软件漏洞来自运行在Windows系统之上的非微软应用程序，这意味着您不仅需要进行全面的系统覆盖，同时还需要采取综合性应用程序保护方案。

BYOD则进一步令保护工作复杂化，因为用户开始不断向企业环境中带入IT部门所不知晓或者不受控制的操作系统与应用程序。

目前，Adobe、谷歌、甲骨文以及Mozilla等厂商的产品在企业环境中非常流行，其中亦存在着大量亟待解决的安全漏洞。

举例来说，2015年Flash Player在Angler（Angler是一套可通过黑市直接获取的现成恶意利用框架）中的总体恶意事故内占比超过70%。

在这种情况下，我们无法单纯依赖于自动更新程序，因为此项功能往往被禁用、或被用户忽略并能够随时关闭。

另外，某些得到广泛使用的自动更新程序也易受到破坏。2016年谷歌Chrome就曾遭遇长达六个月的自动更新失效问题。在此期间积累起的大量漏洞将很可能导致对应系统成为网络犯罪活动的牺牲品。

4 .立足内部与外部实现补丁覆盖

值得一提的是，如果不能对处于任意位置的每一台计算设备进行操作系统与应用程序补丁安装，那么安全保障将不可能实现。由于IT方案允许用户立足外部甚至远程方式进行工作，因此我们同样有必要对这部分用户提供保护。补丁管理系统与其它安全控制方案应能够为此类员工带来等同于内部环境相同的覆盖面与控制能力。

零日漏洞利用行为随时可能发生，我们无法预测用户何时会接入网络或者连接至VPN，并将这些安全威胁带到网络的其余部分。随着员工队伍分散化趋势的日渐明朗，相当一部分最终用户处于不同位置，因此大家必须认真考量其实际情况以避免意外违规事故的发生。

5.每周安装补丁

微软方面始终保持着固定的安全补丁发布周期（补丁星期二，每个月第二个星期二发布补丁），但大多数其它供应商则并不遵循类似的严格发布时间表。甲骨文公司在每季度第一个月发布安全补丁，Adobe则选择与微软同一天发布季度安全补丁。谷歌与Mozilla并没有设定具体的时间表，随时发布经过检测确认的补丁。

虽然以上每一家供应商都拥有可与其发布规律相契合的补丁管理方案，但将其全部协调起来对大多数企业来讲则相当困难。如果希望通过尽可能提升修复频率以改善安全水平，那么以不变应万变的方式，每周更新一下发布的最新补丁绝对是种好办法。

6.在数据中心内采取无代理机制

服务器的补丁管理需求存在着明确的特殊性。通常来讲，服务器管理员并不希望给系统添加其它代理，另外亦存在大量代理所无法操作的虚拟基础设施，例如模板与脱机虚拟机。另外，在每套虚拟机上安装代理可能会给网络资源带来压力，从而造成网络性能低下。我们需要将两者加以结合，即保持灵活的体系结构，且同时维护服务器的无代理与有代理支持。

7.避免例外情况

无论是否支持代理，我们在实际补丁管理时都会遭遇例外状况。但着眼于当前的安全环境，例外绝对不能姑息，您需要将例外视为另一种异常情况。举例来说，核心组件的补丁安装可能会破坏某些内容并导致运行异常，这一点在Java 7的update 63中就曾经出现。在这种情况下，您可以继续将Java保留在旧有版本，同时锁定系统中用户的权限，而后直接删除互联网访问选项并在系统中应用白名单机制，从而阻止任何未知/不受信载荷以降低执行风险。但请注意，例外及异常绝对不可阻碍补丁修复流程的进行。

补丁管理对于网络安全而言至关重要，但却很少引起人们的足够重视。E安全小编提请重视以上七项最佳实践，并借此帮助您保持及时补丁更新，最终保护虚拟数据环境免受各类安全威胁的冲击。

27

E安全要闻简讯

官网：www.easyaq.com

2017年4月

01

“首都网络安全日” 系列活动今日启动

02

4.29看点 | 行业携手共治，中小网站安全防护的春天到来

03

安全公司提供工具远程移除NSA后门

04

黑客发布新型Linux恶意软件Shishiga

05

推荐！保护数据安全的七项补丁管理实践

06

斯诺登再曝猛料：日美秘密合作监控亚太各国60多年

07

韩媒称 朝鲜黑客攻击多国银行窃取资金超过6亿人民币

08

[信息图]38%的勒索软件受害者愿意支付赎金

09

FCC主席概述废除网络中立计划

10

监控软件厂商Retina-X和FlexiSpy服务器数据被黑客删除 客户数据丢失

11

美陆军发布《网络战和电子战FM（战地手册）3-12》报告

12

亚太90%的企业都不清楚欧盟GDPR数据保护条例 恐遭巨额罚款！

13

Hajime僵尸网络谨慎回避敏感网络，其劫持30万台设备动机成谜