更新修補程式是Microsoft最基本的資訊安全防護策略,早期Microsoft對於弱點修補管理採取守勢,主要將自家的平台維護好,將Patch 上好,希望企業都能依循SOP來將系統的弱點修補管理好,後來也推出了如SMS、SUS、WSUS等工具,希望使用者能透過更好的工具或方法論來讓其在維護基礎架構安全時能有更好的方法。
慢慢的現在Microsoft在安全這方面變得比較主動,也就是說除了修補工具的提供外,在面對一些重要的攻擊時,是不是能在防護的第一關,甚至是在應用層能給予好的防護,透過好的機制將容易受到駭客攻擊的關卡都能做一個好的保護。因為Microsoft不是單獨的安全產品廠商,而是一個平台和應用軟體的供應商,所以Microsoft談的一定是從作業平台開始往上到應用軟體層甚至是希望能建構一個整個網路的安全機制。台灣微軟營運暨行銷處伺服器平台事業部產品行銷經理葉怡君表示Microsoft最近併購一家防毒廠商Sybari,事實上就是希望能在其平台加上一個防毒及反垃圾郵件的機制。
安全第一道防線 弱點修補計畫
定期更新弱點修補程式是安全的第一道防線,早期Microsoft在弱點修補上的作法是一旦發現弱點會立即發佈,但卻讓使用者端因疲於奔命更新修補程式,而造成困擾。Microsoft有鑑於此,決議在更新的發行程序上進行改善。
Microsoft如何發現平台弱點,進而提供更新修補程式呢?系統弱點的發現除了Microsoft本身的安全研發團隊外,可能是外部人員(如對資訊安全有熱情的專家),當他們發現弱點並回報給Microsoft安全性回應中心(MSRC, Microsoft Security Response Center)會在收集回報後,會針對此回報弱點做分析及研究,然後設計開發修正程式即所謂Patch,接下會公告這些安全性內容,而在公佈給客戶之前會先知會所有Microsoft的合作伙伴及技術人員,使其知道如何修補弱點及其重要性。
目前Microsoft的更新發行程序可分為發行前、發行日及發行後三個階段:
發行前,Microsoft Security Response Center(MSRC,Miscrosoft安全性回應中心)主要工作為管理安全性弱點,透過MSRC收集來自四面八方的弱點回報並隨時監控相關的訊息發佈後,進行分級的程序,依其危險程度分為Critical、Important、Immediate和Low等四種,之後技術人員會開始進行分析研究並產出修補程式,同時進行測試,接著發出安全性公告,說明修正的弱點、可能的因應措施和緩和方法,以及常見問題集。
每月第二週的星期三為發行日,定期發佈所有安全性弱點及修補程式(Patch),使用者可透過Windows Update、自動更新及 Miscrosoft下載中心來取得;也提供企業級用戶免費的工具來進行偵測及佈署安全性更新,如Microsoft Baseline Security Analyzer(MBSA)、SUS等。同時在網站上公告並透過電子報的發行來告知使用者。最後在修補程式發行之後,會開始密切監控使用者的反應,倘若使用者反應修補程式在安裝後造成應用程式的不穩定的情況發生,Microsoft會協助使用者解決問題。
Microsoft雖然提供給使用者更新的機制,站在尊重的立場並不強制使用者進行更新,但Microsoft仍會進行強力的宣導,並做到立即性的在網站上公佈或利用電子報來通知使用者進行弱點更新。
Microsoft更新管理機制與工具
目前Microsoft在修補程序更新上,提供幾個解決方法:如果是一般的使用者,可以使用Windows Update連接到Microsoft的網站上,直接協助使用者掃瞄系統,看是否需要更新,但若使用者是對IT不敏感的人,可能對於這樣的動作感到複雜,然而如果使用者不做此更新動作,則Microsoft就無法對其做完善的保護。所以Microsoft針對一般使用者一直加強宣導──1、2、3步驟來保護電腦安全,即第一步使用網際網路防火牆;第二步保持系統更新;第三步使用最新的防毒軟體。
其實Microsoft大部份的用戶還是屬於企業用戶,所以Microsoft在針對大型企業用戶提供一技術窗口,當有重大更新時,便會主動通知客戶。另外,當Microsoft的客戶在遇到緊急情況時,會打到客服中心(Call Center)來求救,而客服中心針對資訊安全問題時會第一時間提供相關資訊給予客戶,而當大型企業客戶或是和Microsoft有簽訂合作方案的客戶有問題時,客服中心會請第二線客服人員即PSS(Product Support Service),以email或在電話中為客戶解決問題。
更新管理工具
當 Microsoft 獲知安全性漏洞時,MSRC 和產品小組會評估和檢驗該問題。產品小組的支援工程團隊接下來會建立和測試安全性補充程式來解決問題,同時 MSRC 會與提報漏洞的人合作,以安全性公告的形式,協調公開資訊的發佈,其中會有安全性漏洞補充程式詳細資訊。Microsoft接下來會透過 Microsoft Download Center 和其他服務,在軟體發佈更新時,MSRC 會傳送相關的安全性公告。其中可用工具包括:
● Microsoft Windows Update
● Microsoft Office Update
● Microsoft Software Update Services (SUS) 或 Microsoft Windows Server Update Services (WSUS)
● Microsoft Systems Management Server (SMS) 2003
其中,Windows Update及Office Update,可以自動提供連至Windows Update首頁並檢查使用者電腦是否有安全漏洞,下載更新程式。而SUS及WSUS是微軟提供的一項免費工具,當有更新消息發佈時,可上Microsoft Windows Update網站下載更新。僅支援至作業系統和作業係統包括之元件的重大和安全性更新。
SMS是部署和管理軟體更新發佈至大量用戶端的機制,支援的平台從Windows98到Windows Server 2003,除了支援平台的所有修補程式、Service Pack及更新,另外,還支援Microsoft和其他應用程式的修補程式、更新及應用程式安裝部署。
使用者的問題及未來補強
通常使用者在佈署更新程式時,葉怡君認為,Microsof面對用戶執行更新修補程式所遇到的關鍵問題,主要是一、IT人員會抱怨修補程式太多,但這並非一朝一夕就可以解決,往好的地方看,表示Microsoft的應變能力強,遇到漏洞很快就進行補強;往壞的一面看則是會造成使用者的負擔。但追本溯源,在作業平台初始開發之時,便提高其安全性,所以大家可以發現Microsoft在系統開發的生命週期是愈來愈長,代表說Microsoft在測試上會花較多的時間。
其二是在用戶端所使用的作業平台版本不一,甚至還有客戶使用Windows95或Windows98的作業系統,客戶的網路環境比較複雜,也許有些的網域並非規劃很完善,或是其架構很分散,所以在直接控管上沒有一個很集中的機制來做管理,相對的,在Patch Management上就無法做一個集中化的管理,而這也引出了一個更深入的議題就是,在做所謂的修補程式管理之前,應審慎來考慮是否要導入AD,如現在有很多的金融業吹合併風,而合併後IT的事情才開始,可能要將所有的網域整合成同一個,管理上可能從多個IT整合成一個IT,在從事修補程式管理之前,同時要去思考怎麼讓修補更新管理這件事更簡化,如果網域未互相整併,則管理人員很難跨權限進行修補更新,這對Microsoft而言已非技術可以解決而是管理上的問題。
葉怡君表示,目前在更新管理領域最大的挑戰還是在客戶端網路的複雜程度是Microsoft難以控制的,所以其管理工具必須針對客戶需求來做客製化,然而Microsoft的產品仍然以修補自家的平台為主,但客戶端的平台並不侷限在Microsoft平台,可能會有Linux、OS2等不同的作業平台,因此微軟目前採取的策略是和其他廠商合作,並將使用者介面整合,提供客戶完整的服務。
結語
資訊安全對Microsoft而言是一項重大的挑戰,弱點更新修補只是其中最基礎的一環,但卻也是所有IT人員頭痛的根源,Microsoft深知更新的重要性,推出各種更新服務的工具及機制,企圖降低其複雜性,帶給使用者更方便的方法。除了更新修補持續進行外,使用者的配合度及對安全的認知也是維護資訊安全的重要因素。但回到問題的根本,開發一安全的平台才是徹底根治的好方法。