漏洞管理现状分析.pdf

集中分布式 集中分布式 补丁更新管理解决方案 补丁更新管理解决方案 一 漏洞管理现状分析 1 1 漏洞管理风险分析 1 1 漏洞管理风险分析 补丁管理已经困扰企业很多年了 而且还将被继续讨论 随着技术的进步和攻击者对漏 洞攻击方法的开发 电脑安全的管理在维护业务架构的完整性上越来越重要了 作为一种提 前的主动行为 安全补丁管理是保护企业电脑架构的防御前线 补丁管理是使电脑和现有 的软件产品开发的更新保持一致的人 程序和技术 安全补丁管理是关注减少安全漏洞的补 丁管理 它不是对严重紧急事故作为反应的防御程序 已经发生了这种事件 但是安全补丁 管理应该首先是保持环境安全可靠的主动程序 作为一种函数过程 安全补丁管理确保所有 验证软件采用了更新 并由此评估环境中的漏洞以及减少电脑被攻击的风险 如何保证企业的信息系统的稳定运行已成为管理所面临的核心问题 信息系统的基础构 成是 PC 机 保障 PC 机的安全运转成为企业网络安全的关键 随着病毒和漏洞的结合 例如 CodeRed Nimda SQLSlammer Blaster 等蠕虫对全球的网络甚至经济都造成了严重的影响 病毒 黑客攻击网络手段大都是通过操作系统的漏洞进入计算机 一旦这些病毒通过违规终 端设备进入网络 探测其它的计算机漏洞 就可能进一步进行攻击渗透 这样将会给整个网 络的运行带来极大的影响 例如 红色代码 Code Red 病毒从发现起仅仅经过 9 个小时 就感染了 25 万多台系统 最初的红色代码是对白宫网站服务器的拒绝服务攻击 后来的红 色代码二 Code Red II 发生了变化 攻击者具有对被攻击 Web 服务器完整的远程访问权 限 1 2 漏洞管理成本分析1 2 漏洞管理成本分析 根据 Meta Group 的报道 全球共发现和公布了 4192 个漏洞 同时 实际统计表明 平均一个系统管理员全年共花费 1920 个工时 将 4 个补丁打到 120 台服务器上 即在一 个服务器上打一个补丁的平均时间大约为 4 小时 其中包括备份安装测试等环节 假设该 名系统管理员具有良好的技能训练 可以在 20 分钟内阅读研究完一个漏洞及其补丁解决方 案 那么 4192 个漏洞总共需要 172 个人天 再假设其中只有 10 的漏洞适用于自己的 网络环境 这样 413 个漏洞 每个相应的补丁部署在 10 台服务器上 共需要 2065 个人 天 即同样配置的服务器数量为 10 个左右 我们可以看到 这两个人天数字加在一起 差不多是 10 个全职安全管理员一年的工作量 这里还没有考虑对厂家发表的补丁进行测试 和验证的过程 也没有考虑打补丁失败造成的二次资源消耗 可以看到 补丁和漏洞管理已 经成为一个很大的资源漏斗 占用大量的系统管理员资源 第 2 页 上面的数字说明打补丁对于任何一个企业来说 代价是非常昂贵的 这种成本包含有收 集 了解 测试 部署 备份恢复以及风险等成本 但是 不打补丁的 成本 是数据失密 丢失 窜改 拒绝服务 系统恢复以及其它无形损失等 如果用一个简单的数学模型来表达 以上有关打补丁的成本分析 即打补丁的最佳时机的话 就是下面的成本不等式 部署成本 补丁失败概率 失败成本 攻击入侵概率 攻击入侵成本 通常我们使用三个数字来描述一个漏洞的安全风险特性 I 影响度 即攻击入侵成本 P 流行度 即多大范围内传播了该漏洞 S 简易度 即利用该漏洞的难易 后两者的乘 积 P S 大约可以反映该漏洞导致攻击入侵的概率 不等式的右边 I P S 代表的是该漏 洞对应的不打补丁成本 本质上反映的是补丁管理决定的防御强度 是否可以承受 图 1 从风险管理角度看补丁管理参 照图 1 的示意图 在曲线的最高点 按照 100 安全的要求 即使是 IPS 乘积为 0 的补丁 即风险极小 也必须完全部署 这时的代价极高 通常不符合安全风险管理的投资回报原 则 从上面的不等式 我们可以看出 左面的部署成本和补丁失败成本决定了 合算 的 IPS 强度 如果我们将部署成本降下来 通过测试将补丁失败的几率降下来 则可以在保证投资 回报的前提下 将补丁引起的损失和成本降到最低 就可以提高 IPS 决定的防御强度 寻找打补丁最佳时机寻找打补丁最佳时机 通常认为 对于发现的漏洞和补丁应该尽快安装部署 但是 按照美国 USENIX 组织发表 的一个针对 CVE 漏洞和补丁的研究数字表明 大概有 18 左右的补丁会稍后进行重新发 布 即出现了所谓的补丁的补丁 即意味着 在第一时间安装上的补丁 有 18 的可能会 带来新的缺陷或安全漏洞 随着时间的推移 补丁本身的安全性和稳定性会上升 由此造成 的损失风险相应降低 第 3 页 图 2 寻找打补丁的最佳时机 如图 2 所示 我们必须在早打带来的补丁失败风险与晚打带来的入侵攻击风险之间进行平 衡 选择较好的时机 从对实际 CVE 漏洞和补丁的研究来看 新发表的补丁大概需要 2 周 到 4 周左右的时间稳定下来 换句话说 在补丁发表后两周 考虑尽快部署可能是较为稳 妥的时间 如果不满足这样的时间延迟 则需要自己建立更强大快速的安全实验室 专门来 研究测试补丁 将大规模部署补丁的时间延迟提早到 1 周以内 1 3 漏洞管理的误区 1 3 漏洞管理的误区 全部补丁第一时间打全 这种想法是不对的 补丁视重要性来安装就好了 针对一些比 较重要的系统补丁 比如影响系统运行的 IE 的重要补丁 还应该专门安排测试 测试 补丁的稳定性 对系统及应用的影响 而且这种测试不可能交由某些服务厂商来做 毕 竟每个企业或组织都有自己专门的应用 只管操作系统补丁 不注意其他系统补丁 目前很多系统管理员或补丁管理系统都是聚 焦在 windows 操作系统补丁上 其他的如 Office 数据库等系统补丁基本不管 其实 应用软件和数据库漏洞也比较多 比如当年的 SQL Slammer 就是利用了 SQL Server 的 漏洞 短时间内令 70 以上的网络瘫痪 补丁管理技术比较全面 但管理制度不健全 主要表现在过分依赖补丁管理系统 管理 制度没有完善 网络中部署了防火墙 防毒软件等安全产品 基本就不会受到病毒的攻击 缺乏系统漏 洞与病毒的连带关系分析 二 诺华补丁管理解决方案 第 4 页 2 1 诺华补丁管理解决方案概述 2 1 诺华补丁管理解决方案概述 微软的各种系统安全补丁几乎每周都会出现 具有大量计算机的网络靠手工进行补丁升 级是不现实的 而很多用户本身不具有为系统打补丁的意识和自觉 很多用户本身也不知道 需要安装哪些补丁 甚至更有部分用户无法独立安装操作系统补丁 这些都已经造成网络中 的客户端出现安全漏洞 成为安全隐患 解决好补丁问题相当于给企业网络安全上了一道防 火墙 但在一个大中型企业中 PC 机数目众多 应用软件复杂 补丁的安装不是一件容易 的事情 如何有效安装补丁 管理好补丁就成为企业 IT 运维管理的重要课题 诺华补丁管理系统可以为您提供如下帮助 客户机环境收集 首先需要了解网络中所有的设备并获得这些设备的基本信息 只有对 网络环境的资产信息进行集中管理 才能够针对不同的平台和对象采用不同的应用策 略 系统漏洞跟踪 对最新的漏洞信息 应该能够收集完整的描述信息 包括漏洞的发布时 间 平台相关性 严重级别 内容描述等 根据这些信息管理员可以确认漏洞的重要程 度 漏洞威胁评估 收集整个网络中每台设备上详细的漏洞状况 即针对每台设备上存在哪 些漏洞 下载和测试补丁 系统管理员需要下载相应的补丁 同一个漏洞在不同的操作系统上需 要应用不同的补丁 这些补丁的可靠性必须经过严格的试 自动部署补丁 系统员需要快速给有的系统打补丁 结果评估 系统管理员需要得到补丁应用结果的详细统计信息 针对没有打上补丁的系 统 管理员需要采取必要的措施 2 2 诺华补丁管理流程 2 2 诺华补丁管理流程 诺华补丁管理流程是以补丁的分类为核心 通过诺华测试各个补丁的安全性 对安全的 补丁编辑到索引文件中 被编辑到索引文件中的补丁由补丁下载器负责下载 下载后的补丁 导入到补丁部署服务器 通过补丁管理服务器及补丁侦测引擎的扫描建立补丁部署策略 从 而实现补丁的自动分发与统计 主要流程包括以下三个环节 补丁安全性测试 安全补丁的部署 安全补丁的审定与核查 第 5 页 补丁管理流程图 2 3 诺华补丁管理系统结构 2 3 诺华补丁管理系统结构 诺华补丁管理系统由补丁下载器 补丁管理服务器 补丁部署服务器 客户端侦测引擎组成 补丁管理系统组成结构图 第 6 页 2 4 诺华补丁管理系统功能 2 4 诺华补丁管理系统功能 1 补丁分类管理 对补丁的分类是提高补丁的下载 补丁数据库的建立 补丁的部署等效率的关键因素 因此 一个很好的补丁管理系统应具备强大的补丁分类功能 诺华补丁管理系统将补丁分为系统类 补丁 应用程序类补丁 其中系统类补丁分为 WINDOWS 2000 PROFESSIONAL SERVER WINDOWS XP PROFESSIONAL HOME WINDOWS 2003 STANDARD ENTERPRISE WINDOWS VISTA HOME BASIC ENTERPRISE WINDOWS 2008 STANDARD ENTERPRISE 其中应用程序类补丁分为 DIRECTX IE OUTLOOK OFFICE WMEDIAPLAYERE 等应用程序 补丁分类视图 2 补丁自动下载 补丁下载器是将索引文件内的补丁从微软网站下载到本地的工具 通过补丁下载器自动连接 诺华软件网站并获得最新补丁信息 企业可根据自己的实际情况建立补丁下载策略 补丁下 载器将根据补丁下载策略实现从微软官方网站下载您所需要的补丁 补丁下载器支持断点续 传以及多线程下载 可以独立运行于任何能够上互联网的计算机上 可适用于内外网隔离的 环境 第 7 页 补丁下载器视图 3 补丁测试 测试补丁是保障补丁部署安装后不出现任何兼容性问题的关键 虽然软件产商在发布补丁前 已经对补丁进行了测试 但是测试永远是不充分的 从实际经验来看 目前软件产商为了解 决安全问题 都会尽量压制测试补丁时间 而且每个企业都有自己的特殊应用环境 因此补 丁往往不稳定 会造成很多未知问题 因此诺华补丁管理系统可根据企业的实际应用环境进 行补丁测试 以判断该补丁在企业环境下的兼容状况 诺华补丁测试包括 补丁文件选择 测试机选择 操作系统选择 目标应用程序选则 生成测试报告等环节 第 8 页 补丁测试报告视图 如果在测试中发现某个补丁有问题 网管人员可根据补丁的必要性 风险程度等信息决定该 补丁是否进行部署等策略 系统会根据网管选择的测试机 补丁文件 测试用例及编辑的 信息生成测试报告 4 客户端侦测引擎 客户端侦测引擎是负责对客户机的补丁信息 资产信息进行收集的程序 同时完成对补丁的 下载与安装任务 该引擎采用用户界面化设计 使得用户能够对自己的计算机的安全状况有 一个全面了解 用户可通过客户端引擎对自己本机的补丁下载及安装进行合理的控制 有效 的避免了由于补丁部署而给用户带来的不方便性 第 9 页 客户端侦测引擎 5 补丁管理服务器 补丁管理服务器是对全局补丁的缺失 部署策略 报表 资产信息 客户机基本信息等的控 制中心 实现网管人员对补丁管理的自动化调度 第 10 页 补丁管理服务器视图 6 客户机基本信息收集 资产管理作为诺华补丁管理解决方案的一部分 实时收集客户机的计算机名称 操作系统 IP地址 MAC地址 是否在线等基本信息 通过这些信息网管人员可方便对客户机的补丁 部署情况进行查询 7 灵活的分组管理 对全网内的计算可实现分组管理 网管人员根据不同的部门建立不同的管理组 实现按组的 补丁测试与报告分析 8 报表中心 报表中心可提供补丁的更新状况 最新发布补丁前 10 排名 漏洞最多的计算机前 10 排名 补丁更新进度前 10 排名 可以按照补丁进行部署的综合查询 可以按照计算机信息进行补 丁的综合查询 按补丁查询部署情况 第 11 页 按客户机查询补丁部署情况 漏洞最多前 10 排名 第 12 页 最新补丁前 10 排名 2 4 诺华补丁管理优势 2 4 诺华补丁管理优势 最全面的补丁分类管理 诺华补丁管理系统将补丁分为系统类补丁 应用程序类补丁 其中系统类补丁分为 WINDOWS 2000 PROFESSIONAL SERVER WINDOWS XP PROFESSIONAL HOME WINDOWS 2003 STANDARD ENTERPRISE WINDOWS VISTA HOME BASIC ENTERPRISE WINDOWS 2008 STANDARD ENTERPRISE 其中应用程序类补丁分为 DIRECTX IE OUTLOOK OFFICE WMEDIAPLAYERE 等应用程序 最强大的补丁信息库 本系统涵盖了微软公司自 2003 年至今的全部补丁信息 具有完整的信息收集功能 能够收集到所有终端节点的设备名称 IP 地址 操作系统平台 语言版本等信息 同步更新操作系统漏洞信息 通过索引文件的自动化更新 系统管理员能够从补丁下载器上随时了解完整的漏洞信息 收集客户端当前漏洞状态 通过客户端侦测引擎自动收集客户端机器的漏洞状态并上报到补丁管理服务器 以便网管人 员能够掌握全网的补丁状况 自动下载补丁并安装补