我们发现了推出补丁的长期问题背后的原因。equifax公司。notpetya。想哭。这三个安全问题有一个共同点:它们都是由于公司长时间未修补系统而造成的。在所有这三种情况下,攻击都使用了已发布补丁的安全漏洞,受害者未能及时应用补丁。
虽然许多扶手椅安全专家建议避免成为这些漏洞利用的受害者,但一旦发布补丁就会立即应用补丁,实际的it领导者认为这并不像外界那样简单。
那么是什么让补丁管理如此复杂?在本月的it专家小组讨论中,我们与一些专家小组成员进行了交谈,以了解情况。
公司仍然难以跟上他们被要求申请的补丁数量,这也许并不奇怪。自2019年初以来,仅微软就为其windows,office,sql server和exchange server产品系列发布了10,000多个更新和补丁。添加通常构成业务it环境的所有其他供应商和供应商,并留下可能数十万的补丁列表。
“由于种种原因,补丁是一个问题,”多米诺的英国和爱尔兰首席信息官paul watts表示。“我们面临的最大挑战之一就是减少允许的停机时间以便应用这些补丁,这些补丁现在变得越来越快,并且可能被滥用为一个拖延机会的机会。”
正如amtrust international的emea网络安全主管ian thornton-trump指出的那样,基于云的基础设施和精益终端可以减少修补公司需要做的事情,但是物联网设备和物理基础设施等内部部署设备仍然代表一个潜在的问题。
“即使有精益终点,我也认为这是一个问题,”william hill集团首席信息官killian faughnan反驳道。“除非你完全是saas(在这种情况下,这是其他人的问题),你仍然需要维护一些东西。在某些时候你最终会为你的流程或桌面应用程序使用第三方工具几乎是不可避免的(即使你是完全vdi),也可以为你的开发者提供库。“
萨福克大学的it主管peter o'rourke补充说:“当你转向混合的本地,云和saas环境时,这些不同平台之间复杂交互的数量也呈指数级增长。”
这很重要;补丁管理如此具有挑战性的一个重要原因是,为了避免停机,it团队必须确保将修补程序应用于一个系统不会破坏它与它必须使用的任何相互依赖的系统之间的兼容性。这与管理技术债务的挑战相结合,在有效的补丁管理方面可能会带来巨大的问题。
“我对补丁管理的主要担忧是它的症状,”faughnan继续说道。“在我看到补丁管理做得很好的公司中,我也认识到技术债务低或管理良好,高度关注质量,良好的安全文化实践,以及利用价值创造而不是创收。商业动力。“
对于watts来说,大多数组织在补丁管理方面面临的最大挑战是遗产可持续性和相关的技术债务考虑。
“当你全神贯注于未来时,很容易忘记过去,”他说。“当然,如前所述,saas和paas补丁管理是别人的问题 - 但是你会背负着你的遗产而面临危险,并且有许多案例研究证明了这些问题的痛苦细节。”
当将补丁管理视为“别人的问题”时,“其他人”甚至不一定是外部提供者 - 它可能是另一个业务部门。这可以滋生自己的问题。
“我认为,在it交付功能之外的事情中,肯定会有关于补丁管理等问题的讨论,”o'rourke思考道。“商定的方法的执行应该在it内部 - 但是,风险和投资案例是否可能位于组织的其他地方?”
虽然thornton-trump对it部门正在进行的补丁流程以及安全监控感到满意,但他指出,设定期望和sla是关键。“问题是,运营商应该是专家,如果不是一个领导者,你就会陷入地盘争夺战和责备游戏,”他说。“'你已经破坏了这样的事情,因为你不知道某某人'。”
faughnan同意,但补充说,必要时,补丁管理总是最终会在某种程度上转移到应用程序所有者或业务团队。
“在以前的生活中,我获得了补丁管理的所有权,”他解释说,“虽然我们确实在整个业务中修改了补丁级别,但我们仍然遇到了ian早些时候提到的问题 - 应用程序所有者需要放弃一些时间来测试补丁,这需要时间远离他们的发布,企业主和团队也有同样的问题。“
这是一个古老的问题:it和商业往往看不到眼睛。o'rourke认为,在大多数情况下,更广泛的业务仍然不了解有效补丁的价值,并且获得必要的停机时间和资源仍然太困难。他说,他的核心信念是,合规风险,包括与补丁管理相关的合规风险,是整个组织必须拥有的。
“彼得是100%正确的。它不能仅仅落在it的肩膀上,”桑顿 - 特朗普说。“it可能拥有服务器,但业务拥有数据,他们需要成为管理战略的一部分。”
与此同时,faughnan对这种方法的现实更加怀疑。“我同意这个理论,但是有没有人见过它在实践中发挥作用?”他问。他说,根据他的经验,从业务部门获得支持取决于谁负责人的个性,而不是强制执行公司战略。
thornton-trump报道了该领域的一些初步成功,并解释说他已说服该公司的三个业务部门将其十大最关键应用程序列表汇总到灾难恢复目的。“他们花了一段时间,”他说。“但现在我列出了30个最关键的应用程序。这是一个开始,但需要合作和信任的精神。”
虽然faughnan认识到这些努力的价值,但他对长期有效性持怀疑态度。
“我认为,维持稳定的补丁合规计划需要嵌入式文化,”他说。“我同意伊恩和彼得的观点;这只是我提出的可持续性问题。你们两个显然让事情朝着正确的方向发展,从前面通过事物的声音引导。所以担心的是,当你发生什么事情时或其他驾驶人士离开?“
补丁管理和合规性之间的这种关系是watts也在努力解决的问题,特别是当涉及到让更广泛的企业理解与未修补的设备相关的风险时,企业会像it一样感受到风险的负担。
“如果一个系统没有修补,其债务也会产生风险,而且业务可以指责it,它必须认识到潜在的商业风险和影响是他们自己和他们自己的,”他说。“企业应该对it施加压力,以确保其风险得到充分管理,而补丁和漏洞管理是管理风险的关键控制措施。”
“这对我来说很有趣,业务似乎更担心与修补相关的停机时间,而不是来自未修补基础设施的存在主义网络威胁,”thornton-trump补充道。“当你把内心的东西带回来时,它会让我感到震惊,而这一切应该永远不会在外面开始。”
他还建议不要同时更新固件和软件,“一切”应该通过变更管理流程来确保顺利实施。
“伊恩关于变革管理的观点很好,我同意这一点,”奥罗克说。“然而,几乎不可能保证生态系统的所有部分都能运行到类似的变更管理水平。随着组织转向效用计算,我们放弃了许多曾经拥有的控制措施。”
对于faughnan和thornton-trump来说,实用主义因素至关重要。以同样的速度修补你房产内的所有东西可能并不总是可行的;在这些情况下,it团队可以使用帕累托原则(也称为80/20规则)等方法来确定将工作重点放在哪里。
“我认为可能最重要的是了解你所拥有的东西,”faughnan说。“it最困难的方面之一就是能够持续准确地了解您所拥有的内容以及它所处的状态。可以说强制标记这样的事情使这更容易,但您总是会有一些业务领域tlc比其他人少。“
thornton-trump表示同意,并指出即使一家公司拥有完整的it资产库存,该库存也只是一次收购或撤资,而不是不准确。
“绝对,”faughnan继续道。“在过去的几年里,谁没有经历过这样的一个?如果不是几个!我认为我们所有人都倾向于区分'补丁管理'和'补丁合规'是非常重要的;前者这是一个基于“补丁完美”的虚构天堂的过程,后者是我们认为我们“足够好”的界限。“
安全公司经常推广补丁自动化工具作为解决这一特定挑战的方法,但这些工具的适用性并未得到普遍接受。在o'rourke的经验中,他们的成本过高,而watts在基础设施层面使用它们非常谨慎。
“我非常警惕数据中心的自动修补,”他说,“但我当然鼓励在端点使用它。但是,在你对自动化有信心之前,你需要采用正确的测试方案。预算和时间表都很紧张,更好的投资是自动发现和报告,所以至少你可以根据你的补丁工作集中的位置做出明智的基于风险的决策。“
faughnan分享了这些观点。他认为,虽然有用,但自动化也需要在错误可能产生重大有害影响的领域与人类判断相平衡 - 这一论点以前他曾经应用于数据科学。
另一方面,thornton-trump表示,他愿意自动化基础设施补丁 - 在系统得到备份和测试环境模仿生产的条件下。
“所有这一切都表明,你需要尽可能努力地游说,以获得合适的预算和时间来实现这一目标,”watts补充道。“它应该被纳入tco预测中,作为资产维持生命的关键组成部分,以便capex和opex能够实现这一目标。”
“在很多方面,我们应该将ci / cd管道作为自动修补的机制,”faughnan继续说道。“如果做得好,他们可以使用最新的第三方库提供可靠的应用程序,扫描漏洞,并在部署之前进行测试 - 所有这些都无需人工干预。”
如果自动补丁工具不是答案,那么it经理如何优化他们的本地补丁工作?如果他知道这一点,瓦茨说,他将是一个非常幸福的人,但他建议它需要足够的支持。
“如果你采取优先考虑的方法,那么你必须开始考虑如何保护那些需要100%合规的环境,以保护那些较少修补的环境,”他说。“但老实说,你真的不希望自己处于一个必须选择补丁的地方而不是你不选择的地方。”
thornton-trump认为,争取msp来处理端点修补可能是一项巨大的资产,可以腾出it团队来提供更有价值的服务,并专注于更棘手的数据中心补丁部署。然而,他承认在这些团队中自然不愿意将补丁管理外包,因为这通常会导致担心整个it职能将很快跟进。
watts目前正在调查使用托管漏洞管理服务的可能性,他表示“这将是合乎逻辑的下一步”,尽管它是“早期”。就像thornton-trump一样,他的理由是外包漏洞管理将释放其他任务的支持周期,尽管他警告说“你不能外包风险”。
补丁管理是一个复杂的主题,很明显每个组织都需要一种不同的方法。但是,在最佳实践方面存在一些常数。
对于faughnan来说,文化是补丁管理的关键。他说,为了实现可持续发展,它必须成为企业dna的一部分。与此同时,桑顿特朗普采取了更务实的观点。他建议通过灾难恢复和全面测试来降低停机风险。然而,watts关注业务风险而非停机风险。
“确保不这样做的风险由合适的人员在业务和技术中拥有。适当地投资于人员,流程和技术以有效地管理修补。衡量有效性并将其转化为风险缓解,以证明流程的合理性它的时间,成本和复杂性。“