如何制定一個可落地的漏洞補丁管理策略？

凡事難得盡善盡美，軟體程式更是如此。安全廠商釋出的眾多軟體和韌體中不可避免地會存在各種安全漏洞和功能缺陷。但如果企業使用者能夠採取合適的策略和機制，就可以解決這些缺陷可能造成的安全問題。企業如果採取正確有效的補丁管理策略，不僅可確保業務軟體和底層基礎架構沒有錯誤和漏洞，還可以通過這種循序漸進的策略降低大型的網路威脅風險，補丁管理策略實施過程中完備的記錄結果，也有助於企業進行後續的回顧管理和安全稽核。

為什麼需要補丁管理策略？

補丁管理策略是一份IT安全管理方案，概述了對企業網路軟硬體定期維護的流程和方法；同時也是一套框架，可幫助企業安全團隊識別和採用所需的各種系統更新和應用軟體，明確補丁程式碼的來源，並瞭解哪些裝置需要更新、為何更新，同時掌握記錄更新的具體過程以供將來參考。企業環境中的補丁管理策略涵蓋眾多的IT/OT資產、系統和應用軟體，具體如下：

• 裝置端點作業系統
• 伺服器作業系統
• 物聯網韌體
• 運營軟體
• 虛擬化平臺
• 網路和裝置外設
• 網路部件
• 應用軟體
• 資料庫
• 儲存平臺
• 統一通訊系統
• IT管理和監控工具等

採用補丁管理策略，在企業內的各種IT/OT系統上為軟體和韌體打補丁後，可以為這些系統軟體增加新的功能特性，修復無意中造成系統性能和可操作性問題的程式碼，還可以修補潛在的可被攻擊者篡改利用的各種資訊保安漏洞。此外，缺少適當的補丁會帶來眾多網路安全問題，包括資料盜竊、丟失以及DDoS攻擊等。

補丁管理策略需要哪些環節？

有效的補丁管理策略應明確企業中的哪些系統需要打補丁、為何打補丁、怎麼打補丁。與這些系統相關的所有工作人員在打補丁的過程中要嚴格遵循制定好的補丁管理策略，否則會出現許多問題，從而影響IT/OT系統的可用性。

圖1. 完整的補丁管理策略流程

為IT/OT系統打補丁是一個生命週期管理過程，該流程的速度取決於相關係統本身以及該補丁對公司業務的潛在影響。該補丁在系統性能、可用性或安全方面的影響越大，打補丁的速度就必須越快，補丁管理策略大體包括以下幾個環節：

識別系統：在執行策略方案前，企業首先要清點整個企業網路，以識別可以打補丁且應該打補丁的所有技術元件，並對這些系統和應用軟體進行分類。

收集補丁資訊：清點補丁策略涵蓋的IT系統有助於確定何時需要對補丁進行更新、在何處查詢和下載補丁。這個環節會包含許多子流程和工具，比如使用安全漏洞掃描、計劃的補丁管理審計、廠商補丁通知公告，以及分析錯誤、功能或漏洞帶來的影響。

確定補丁優先順序：收集資訊後，應先根據企業面臨的風險反饋報告，確定軟體和韌體補丁的優先順序，並安排部署時間。比如說，旨在修復嚴重漏洞的補丁具有更高的優先順序，需要比修復非嚴重漏洞或改進功能的補丁更快地部署。

請求和批准補丁：負責打補丁的人員在實施打補丁的工作流程時需要按環節更新軟體請求維護視窗，這個環節需要嚴格遵循具體的部署要求。

部署補丁：部署補丁的工作將在指定的維護視窗時間內，逐步完成補丁請求和批准環節中概述的軟體更新。

監控補丁結果：無論補丁大小，補丁完成後都必須及時監控更新後的系統和應用軟體，以驗證補丁是否修復了特定問題，或者是否存在意外的負面影響，以免危害業務運營。一旦出現了嚴重的負面問題，就需要將執行補丁請求和批准環節中概述的回滾步驟，以恢復更改。

記載補丁結果：無論補丁是否成功，都要將這些流程完整地記入系統更新日誌，並附上有關補丁安裝結果的資訊，以及該補丁所涉及的所有建議或注意事項，這些資訊有助於簡化將來的系統更新。

圖2.衡量企業補丁管理策略整體成效的關鍵績效指標

制定補丁管理策略的正確步驟

企業在制定補丁管理策略時，應採取以下步驟：

1. 制定對軟體和系統裝置進行識別、分類的流程方案；

2. 確定為各類別軟體、裝置打補丁的負責人；

3. 記載如何使用工具、流程和外部資源，以查詢相關漏洞、錯誤和功能更新；

4. 制定一份補丁更改請求模板以及批准流程和回滾程式；

5. 擬定各系統進行補丁工作的生命週期時間表，為保證各業務的正常進行和企業的網路安全，必須按照時間表迅速的進行補丁部署；

6. 制定一套監測流程，以監控補丁結果以及哪些負面影響會觸發回滾；

7. 制定補丁結果文件模板，以便在每個補丁維護視窗後使用。

參考連結：

https://www.techtarget.com/searchenterprisedesktop/tip/Creating-a-patch-management-policy-Step-by-step-guide​