盤點了企業的IT資產,也定期執行弱點稽核,知道哪些重要系統有漏洞,接下來就要進行漏洞修補的工作。雖然這工作很重要,但企業多半保持著「頭痛醫頭,腳痛醫腳」的僥倖心態,或明知有漏洞,卻用掩人耳目的方式企圖迴避漏洞問題。網路攻擊一旦發生,企業會先想到如何透過設備直接防堵,之後才會想到補強。

經歷過Code Red、Nimda、Slammer等病毒,企業管理修補程式安裝的需求一直都在,原廠只管提供修補程式,如何管理修補程式卻相對未受到重視,主要原因是缺乏適當的部署管理工具。自動更新修補只能解決個人端的問題,無法滿足企業IT大量部署與測試後再裝修補的需求。微軟雖提供企業免費部署修補程式軟體,例如SUS和WSUS,還是無法滿足需求。

伺服器優先修補?還是個人端?

以往企業環境的漏洞修補,在沒有對應產品介入前,漏洞修補主要對象集中在伺服器端,較忽略個人端,然而目前的大規模擴散的網路安全威脅,有漏洞就利用,不同於專門鎖定重要應用的攻擊,不能再忽視個人端的修補工作。

綜觀修補程式,企業應以寬廣的角度管理,侷限在單一觀點,僅從微軟平臺和個人電腦下手,能應付的狀況有限,相關的規劃無法將伺服器的修補管理一起通盤考量。

考量修補優先順序時重要性時,順便回應到前述修補程式管理和風險管理相關的狀況,甚至還可以延伸到巴賽爾協定及BS7799等風險評估的工作。處理上,企業一定先從風險最高的地方著手,管理重要伺服器修補程式是合理的,但一般MIS最難應付的單位反而是使用者。MIS通常會覺得伺服器數量有限,工作固定,不然就想辦法把管理工作和風險管理外包;可是內部使用者卻是IT人員每天都要面對的對象,黃政杰說,先設想使用者端該怎麼處理的企業,也不在少數。

通過內部測試再正式修補

按照正常的程序,部署更新之前,IT人員應該要先將修補程式測試安裝在既有環境,觀察是否會產生問題。IT人員需要建立測試平臺,然後從中建立測試設備,反映系統平時的執行環境,例如模擬個人電腦要有一組員工平時發揮生產力的系統,模擬的網站伺服器要能處理現實中的表單處理與Web應用程式。

各種測試流程可以在在測試設備中進行,或考慮導入能支援企業分散式網路架構的自動化測試工具,提高測試涵蓋率與密度,例如Segue SilkTest。除了測試相容性、可靠性,系統效能的持續監控也是不可或缺的項目之一。

測試修補程式需要在額外準備的相似環境內進行。該如何在虛擬機器上重建與真實系統完全相同的環境呢?或許你會想到透過P2V(Physical to Virtual)的技術,將實體系統移轉到虛擬機器,近期將出現更方便的做法,在Beta階段的VMware Workstation 5.5已經預告將直接支援Norton Ghost 9 的磁碟映像檔,日後想建立更完整的測試修補程式的環境,越來越容易,企業接下來要煩惱的是如何作好版本控制管理。

虛擬機器和磁碟映像固然可以解決一些問題,然而有些資訊系統,因為缺乏原始程式碼、系統架構較複雜或規模過大,利用上述兩種方式皆無法重建環境,這時可能就要考慮結合更龐大的災難復原的計畫一併處理。

平心而論,或許你會覺得工程太過浩大。從最糟的情況設想,不修補系統漏洞,系統也無法短時間內重寫,或找到原始開發廠商將系統重建在虛擬機器上,最惡劣的結果就是這部主機發生停機,以災難復原的角度考量並非過當,作好修補只是降低企業啟動災難復原機制的機率而已。考量修補系統漏洞到最後,災難復原就很有可能是一個結論,這並不誇張。

修補需兼顧派送與安全

修補程式管理的範圍包括部署修補程式,你或許會懷疑軟體派送或資產管理的軟體也有代理程式,可以用來部署修補程式,它們之間有什麼樣的差別?

修補程式管理的價值,在於廠商、產品及服務皆需融入資訊安全相關的專業知識,大部分廠商都將修補程式公開在網路上供人下載使用,但牽涉到如何偵測哪一臺電腦,需要哪一種修補程式,通用型的軟體派送和資產管理系統可能就沒辦法處理了。資產管理的軟體雖然能掌握電腦的軟硬體資產,卻不一定能檢測電腦是否需要裝修補程式,當修補程式發佈,管理者可能要設計指令碼才能自動化偵測與部署。

修補程式本身也是一種軟體,使用上仍有產生臭蟲的可能性或偵測失敗等問題,導致修補程式應該裝而沒裝,或是不該裝卻裝的狀況,軟體派送軟體或許可以達到相近的效果,卻不見得能偵測漏洞修補是否安裝成功。文⊙李宗翰

相關文章
企業克漏修補絕地反攻

偵測篇-定期安檢企業的資訊系統

預防篇-稽核修補成效,預防漏洞攻擊


Advertisement

更多 iThome相關內容