https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

時間是每個安全修補人員的敵人 如何修補弱點並保持密封

2004 / 12 / 30
George Wrenn
時間是每個安全修補人員的敵人  如何修補弱點並保持密封

了解你的網路
假如你的修補週期是一個月,而弱點為兩個禮拜發布一次,則數字正對你造成挑戰。當你的修補週期進行到一半時,又出現四個必須修正的新弱點,這意味著你將輸掉這場戰爭。

加快修補程式的佈署並非解決之道,有效且迅速的修補程式管理才是導入修補計畫的重點。這就是資產管理所在,了解你的網路中有哪些東西並加入這場競賽中。建立資產目錄並繪製你所擁有的資產,並建立安裝的先後順序。將高優先權和高價值的資產設定為目標,然後相繼排進系統修補程序中。

但網路是個動態的環境,資產目錄和資產管理是個持續不斷的程序。每當你進行這項工作時,你會對你的網路更加了解,並藉此調整你的修補計畫。

考慮一份關於各種安全工具的資產目錄,包括弱點掃描器,如Nessus、Internet Security Systems的Internet Scanner和eEye Digital Security的Retina;對應工具如Nmap和p0f;加上修補層級的偵測軟體。某些軟體供應商將作業系統特徵加入他們的探索軟體中,如Tenable Network Security,這讓軟體可以偵測出與OS相關的裝置資訊,並可偵測出系統正在執行的服務。許多自動化的修補管理系統加入了網路對應引擎和服務/作業系統探索工具,可列出機器名稱、IP位址、作業系統版本、安全等級、安全弱點和未安裝之修補程式。

掃描與探索工具具備不同的功用和精確度,但沒有任何一個是100%可靠的。各個裝置經常發生誤判的情形,可能是誤判作業系統,也可能無法檢驗出弱點。最好的方法是使用多種工具來檢測並驗證彼此的掃描結果。不論他們認為他們多有效率,他們都缺乏對其網路全盤了解的安全管理員或網路建構師,掃描所發現的驚奇可能包含未記錄的筆記型電腦、桌上型電腦或伺服器。

當你的資產管理更加完備時,再來使用這些網路掃描軟體,如此可更加精確地判斷系統弱點,接著,發展出一套基於管理的有效策略,並與企業和IT支援單位共同強化操作協定,這將轉化成一套更快速、少分裂的系統掃描策略,和一套具有優先順序的修補佈署策略。原本分散的網路將變得更加緊密,也會縮短你的修補週期。

知識是改變的催化劑
網路探索和資產管理程序其利益是多樣的。他們不僅能幫助你進行更佳的修補執行計畫,亦使你能夠精巧地制定政策和結構化的變革,以改善其後的修補程式佈署和整個網路的安全。

請思考以下敘述:間歇性連上網路的裝置—如流動性的筆記型電腦、商業夥伴和承包商伺服器等,這些是經常被你的網路掃描程式所忽略的系統,隨之而來的修補程式佈署也未包含他們。將他們列入控管,將戲劇性地改善你的覆蓋範圍,並使得終端安全產品的部署得以達成,這些產品提供對裝置的檢測,在裝置連接網路前看看他們是否遵守安全政策。

一套精確的資產目錄管理流程會定義你的機器、作業系統、服務,並讓你有機會將作業平台與系統映像檔標準化。減少認可的作業系統版本數目,將可簡化未來的修補動作。由於使用者可能安裝未經認可的應用程式和工具軟體,所以強制使用標準化的系統映像檔將可減少修補程式破壞特定機器的機會。

在對你的網路更有概念後,你可以重新進行設計,改善整體架構的安全性,並使未來的修補程式佈署更為平順。例如,在發現你的財務資料庫分散於網路上的各個點後,你可以使用資產管理資訊將他們移到他們私有的子網路之下,並以DMZ和IPS來保護他們。如此一來,當有針對那些系統的修補程式釋出時,你將知道他們在哪裡,也知道應該先修補哪些系統。

因為今日的網路都已經互連在一起,網蟲如野火般散佈的情況並不奇怪。網路經常倉促地與企業模式拼湊在一起,但並未顧及安全性,使得他們在完全整合前暴露於易受攻擊的開放環境中。就長期來看,擁有優良架構的網路其深層防禦措施將強化企業的安全性,並縮短漏洞發現時間。

管理人員和修補程式
只要佈署過一次,就可以知道哪些部門願意合作,哪些部門阻礙流程進行。 若是使用修補程式來填補安全漏洞,則將與管理人員密切相關。你需要建立一條溝通管道,為計畫中的修補程式佈署訂定協議和流程。

修補也是一件容易引起爭端的事。對安全主管來說,這是急迫的問題,但對其他部門的主管來說,將伺服器下線並重新開機只是一件浪費生產時間的事。

你必須依據修補程式管理的重要性和它們進入修補週期的壓力程度,為企業的各個部門建立一套工作協調方式。

安全部門應該設定預期目標和相關準則,以便在企業的各個部門進行修補。藉由歷史資料、對投資回報率評估、修補程式的關鍵程度,你可以建立一個系統,決定哪些企業單位需要立即安裝關鍵修補程式;中度重要性的修補程式則在預先設定的維護週期間安裝;而一般的修補程式則在定期更新時安裝即可。獲取企業單位的支持,可彼此分擔修補的壓力,並使他們知道這些是他們必須做的,透過SLA,可以強制實行這些規定,並維持標準。

從成功的修補程式佈署經驗中蒐集資訊,就算是拼湊的也可以,你可以秀出不合作的部門是如何拖延關鍵Windows修補程式的佈署,並導致網蟲侵襲,事後花費更多的時間於停工及修正上。因為時間和資源對企業管理者來說就是金錢,告訴他們這些損失的花費吧。

對企業那些處於立即性威脅的單位進行協調,可確保那些重要的業務營運系統持續進行必要性的修補。

驗證
佈署修補程式只是修補管理流程的一半而已,另一半則是驗證。無論你使用修補管理系統,例如Windows Update或SUS等自動化工具,或手動安裝修補程式,你一定要去驗證修補程式是否已經正確地被安裝,並且正常運作。

自動化的修補管理工具在更新登錄檔方面惡名昭彰,因為它常與完整安裝的值相衝突,而且常常誤判,不知道下載的修補程式已經被中斷了。因此,會不正確的秀出修補程式安裝成功訊息,結果不是修補程式毫無作用,就是回復了先前進行的修補。假如我們沒有修正上述議題,它們將造成問題,延緩未來的修補及執行效能。

假如安全部門並非進行修補的單位,這將是個特別重大的問題。網路或業務單位的主管將時時保證他們已經進行了修補程式的佈署,但驗證與否則必須由你自行決定。

你需要找出上述的弱點評估與滲透測試工具。同時使用這些工具,它們將會驗證你所佈署的修補程式之效果,分辨哪些系統還需要更進一步的修正,並且評估其後的危險程度。

花費時間驗證修補程式,你將可在下個修補週期中節省更多時間。你無需煩惱因先前佈署問題所造成的錯誤,只要專注於手頭上的工作即可。

關於時間
任何未在適當週期內修正的系統,對企業都是一種威脅。它可能是一台透過VPN連線到公司的家用個人電腦、一台未照程序執行的研發伺服器,或是某顧問忘了進行安全更新的筆記型電腦。這些事件發生的機率幾乎是『100%』。

什麼是修補的標準?多少比例的電腦必須在修補程式釋出的一個禮拜內被修補?多少比例的未修補電腦是可接受的風險?

這些都沒有正確答案,企業必須發展他們自己的步調,按時評估修補管理程式的成功程度。最後,藉由這些方法來進行持續改善你的修補管理系統,將可減少企業各部門內之弱點的出現,並節省修補時間。

GEORGE WRENN, CISSP, ISSEP(gwrenn@infosecuritymag.com)是Information Security技術編輯,兼任財務公司的安全主管。他也是麻省理工學院受尊崇的專家。