软件修复是经过检验而可靠的活动,它可帮助保护IT基础设施和最终用户计算机免受潜在的安全威胁影响,还可以支持持续安装的软件漏洞补丁以及功能增强。
大多数软件由软件供应商定期更新(例如微软所谓的周二补丁日)或者在需要修复软件时进行更新。在本文中,我们将探讨自动补丁管理工具的适用场景。
对于软件漏洞来说,是否修复并不是问题,毕竟企业必须保持其计算机软件更新了相应的补丁。事实上,对于上市公司,定期修复软件可能是法律要求,例如萨班斯-奥克斯利法案(SOX)、美国民事诉讼法(FRCP)和健康保险流通与责任法案(HIPAA)等。很多这些政府法规包含实质的经济处罚,甚至还会对不遵守法规要求的上市公司的CEO和CFO进行刑事指控。
在世界上大多数国家,还有类似的金融、医疗和企业法规,因此,补丁管理应该是每个企业的优先事项。然而,是否应该部署自动补丁管理受若干因素影响,有些取决于特定的企业,有些则涉及到IT整体职能。
修复过程
根据企业规模的不同,以及企业对IT预期和/或赋予IT的职责的不同,补丁管理可能被认为是信息技术专业人员的主要工作。在大多数企业,IT负责计算基础设施,包括服务器、负载均衡器、存储阵列、设备、网络设备等。显然,IT必须始终负责对这些基础设施服务器和设备进行即时修复。IT应该确保创建一个沙盒环境,在新补丁发布时对补丁进行测试,再分发到服务器和其他设备。
除了保持基础设施打补丁和及时更新,IT还必须制定和分发修复过程以保持最终用户计算机的更新。下面是最终用户部署补丁管理的两种流程:
1. 针对全体员工定义和分发书面流程,以保持其台式机或笔记本电脑保持更新,以及其本地安装的应用。
2. 部署自动补丁管理系统,让IT严格控制什么时候发布哪些补丁。
如果企业信任员工可以确保其自己的计算机保持更新,最好偶尔保存用户代表性样本,以确保他们遵守企业补丁管理政策。要注意的是,如果涉及到政府和公司合规要求,让员工管理自己的操作系统和应用修复可能让企业面临法律责任。在企业分析是使用自合规还是自动工具进行补丁管理时,应该要考虑如果其修复工作未能遵守政府和合规要求而涉及的潜在财务影响。
另外,如果企业有软件库存工具(例如微软System Center Configuration Manager或赛门铁克端点管理),那么,底层库存基础设施已经部署到位,则可执行对软件许可证和补丁水平的定期审计。当库存审计表明最终用户应用过时,补丁管理软件可用来确保遵守补丁指南或要求。
虽然部署全面的补丁管理基础设施需要巨大的成本,但对于处在严格监管行业的企业来说,自动补丁管理的好处可能远远超过成本。下面让我们来看看自动补丁管理的潜在用例。
用例1
自动补丁管理过程的第一个企业用例通常适合员工总人数加上服务器总数约为50的企业。在这些企业,IT不能冒风险依靠员工通过手动修复来保持其操作系统和本地安装应用的更新。
此外,手动修复服务器是非常耗时的过程。快速成本效益分析表明,IT没有办法花时间为服务器和其他基础设施设备手动安装补丁,因为他们的基础设施环境有超过10到15台服务器或其他可修复设备。
企业还应该对修复最终用户计算机进行类似的成本效益分析。很多企业利用库存软件来生成报告,以展示最终用户计算机和服务器安装了哪些操作系统和应用,以及所有已安装软件的版本和修复水平。这些报告还可以帮助小型IT部门监控最终用户保持其修复水平的情况。
除了规模较大的企业,自动补丁管理工具也非常适合小型企业,因为这些企业无法依靠最终用户修复补丁,这很容易让公司面临恶意软件威胁和潜在的法律方面的后果。
用例2
自动补丁管理的第二个企业用例非常适用于受联邦法规和法案(例如SOX、FRCP和HIPAA)监管的上市公司。在这种情况下,持续的补丁管理可能是法定要求,如果违反这些规定,CEO和CFO可能面临刑事和民事处罚。
除了满足监管要求,修复可能是企业必要的流程,以保护企业免受潜在的法律诉讼,这些诉讼可能来自客户、供应商以及因企业网络中修复相关问题而遭受财务损失的其他人。如果企业未能保持其计算机和其他设备安装最新推荐的补丁,企业可能面临来自客户、合作伙伴和其他相关方的法律诉讼。例如,如果恶意软件通过已经发布补丁的漏洞进入企业的IT基础设施,并且,如果恶意软件导致个人身份信息(PII)意外或有目的泄露,那么,企业可能面临巨大而持续的民事责任。
企业在考虑自动补丁管理工具的成本外,还需要注意的是当上市公司没有可核实、可重复自动补丁管理流程而可能带来的风险。根据企业特定运营环境和政府合规要求的不同,当修复相关的事故给企业利益相关者造成损害时,企业可能要花费大量的时间、金钱,并且,客户信誉都会岌岌可危。这就是说,与防止企业因缺乏补丁管理受到的法律和监管行动的成本相比,部署自动补丁管理工具的成本通常相对更少。
作者:Earl Follis
来源:51CTO