未打补丁的系统是一种非常严重的IT安全威胁,可能带来极其重要的后果, 正如大量利用已知未修补漏洞的高调破坏所记录的那样. 因为这些漏洞是已知的, 不仅仅是攻击者, 也适用于系统管理员, 既然存在补丁, 乍一看,竟然存在未打补丁的系统,这令人惊讶. 现实, 然而, 修补不是那么简单:因为相互依赖, 必须验证补丁是否与系统中的其他所有内容兼容, e.g., 操作系统补丁必须与运行在操作系统之上的应用程序和数据库兼容. 有时, 它们不是, 作为体现, 例如, 在最近的Spectre和Meltdown漏洞中, 哪些应用程序提供程序明确警告不要打补丁. 验证意味着由其他供应商进行测试, 对于应用程序供应商来说,这可能不是优先考虑的问题, 有时下一个版本会给出答案或完整的解决方案. 今天的组织通常使用大量的系统和应用程序, 确保所有漏洞都及时修补并不是自动的.
鉴于这种情况,组织需要加强第一道防线,即.e., 尽一切可能确保及时修补和, 除了, 准备第二道防线,以应对不能或不会在合理时间内修补的系统. 这种战略可能包括:
- 让高层管理人员参与进来,他们需要意识到风险,并试图获得合同保证及时解决补丁问题, 无论是在他们的系统或应用程序中,还是在他们自己的系统所依赖的其他系统中. 在这方面评估供应商.
- 明确补丁的最终责任. 这包括任命某人来监控和评估补丁风险,并授权此人执行这项任务. 这涉及到, 等, 系统的架构图, 它们的功能, 临界和暴露(e.g., 面向互联网)加上互连, 以及对补丁进行定期扫描的监控工具.
- 请联系厂商进行补丁测试, 兼容性和可用性, 必要时还可能在内部进行测试.
- 建议将反应迟钝的供应商列入黑名单.
- 如果无法在合理的时间范围内修补,建议并实施(与公司相关单位合作)替代缓解措施. 此类措施可能涉及未打补丁的系统中的代理来阻止漏洞利用(尽管不太可能被供应商接受)。, 将打过补丁的中间服务器放在通往互联网的路径上,以检查传入的流量, 并使用web应用防火墙(waf)或沙盒类型的解决方案, 始终考虑可能出现的性能问题.
- 特别是如果一个人必须生活在未打补丁的系统中, 监视和响应恶意活动变得越来越重要.
阅读Spiros Alexiou最近的文章 杂志 文章:
“实用补丁管理和缓解,” ISACA杂志, 2019年第3卷.
