居安思危，賽門鐵克產(chǎn)品主管談補(bǔ)丁管理

liko

托姆·貝利(Thom Bailey)是賽門鐵克公司 企業(yè) 管理業(yè)務(wù)部門的產(chǎn)品管理主管，他的主要職責(zé)是規(guī)劃公司的戰(zhàn)略路線圖和負(fù)責(zé)賽門鐵克公司的系統(tǒng)管理產(chǎn)品線營(yíng)收增長(zhǎng)。在擔(dān)任這一職務(wù)之前，他是開發(fā)Symantec Ghost這一非常成功的產(chǎn)品的主要_ art _ 角色。此外他還對(duì)賽門鐵克的殺毒 軟件 和加密產(chǎn)品作出了關(guān)鍵貢獻(xiàn)。 補(bǔ)丁通常都很小，通常用來(lái)臨時(shí)的快速修復(fù)危急的 軟件 漏洞 。 軟件 銷售商在確認(rèn) 軟件 漏洞 會(huì)影響到大量用戶，產(chǎn)生嚴(yán)重后果時(shí)就會(huì)發(fā)布補(bǔ)丁，它通常介于補(bǔ)丁包(service packs)或升級(jí)版本之間發(fā)布。補(bǔ)丁通常用來(lái)解決威脅安全的 漏洞 ，這些補(bǔ)丁因此被稱為安全補(bǔ)丁。一般來(lái)說(shuō)，補(bǔ)丁可以從 軟件 銷售商的在線支持站點(diǎn)處下載。 Q：補(bǔ)丁管理的準(zhǔn)確定義是什么？ A：補(bǔ)丁管理涉及到好幾個(gè)方面：掃描 電腦 系統(tǒng)里存在或丟失的補(bǔ)丁、跟蹤識(shí)別是否有新補(bǔ)丁、下載新補(bǔ)丁、部署和安裝新補(bǔ)丁、確認(rèn)打好補(bǔ)丁的系統(tǒng)正常運(yùn)行以及補(bǔ)丁在整個(gè)域中成功安裝完畢。在一個(gè)管理良好的 計(jì)算機(jī) 環(huán)境里，管理員掌握他管轄范圍下的所有系統(tǒng)的補(bǔ)丁當(dāng)前狀態(tài)，時(shí)刻了解最新的威脅、 漏洞 和新補(bǔ)丁信息，出現(xiàn)情況時(shí)快速反應(yīng)測(cè)試新的補(bǔ)丁，確定什么補(bǔ)丁適合于什么系統(tǒng)，并確保新補(bǔ)丁快速安全地部署和安裝。 Q：是什么原因使得補(bǔ)丁管理當(dāng)下如此熱門？ A： 軟件 管理是一項(xiàng)長(zhǎng)期需求。各種組織現(xiàn)在越來(lái)越清晰的感受到，如果不打補(bǔ)丁、不將系統(tǒng)設(shè)置標(biāo)準(zhǔn)化、不能預(yù)見(jiàn)到需要從 漏洞 攻擊 或錯(cuò)誤補(bǔ)丁中快速恢復(fù)，那么就會(huì)存在各種安全隱患。公司易于因安全缺口、大范圍停運(yùn)、生產(chǎn)率降低甚至客戶信心喪失而蒙受損失。由于 漏洞 數(shù)量不斷上升，利用 漏洞 的傳播比以往更快以及公司修復(fù) 漏洞 的機(jī)會(huì)窗口越來(lái)越小，使得補(bǔ)丁包管理比以前更為重要。 Q：你可以列舉一些統(tǒng)計(jì)數(shù)據(jù)，來(lái)說(shuō)明 漏洞 數(shù)量上升、修復(fù) 漏洞 機(jī)會(huì)減小的狀況嗎？ A：賽門鐵克從2004年7月1日到12月31日共記錄在案1403個(gè)新 漏洞 ，相當(dāng)于每個(gè)禮拜就發(fā)現(xiàn)58個(gè)新 漏洞 。其中有70%的 漏洞 很容易被利用 攻擊 ，97%的 漏洞 屬于中危 漏洞 或高危 漏洞 。這意味著不僅組織每天要對(duì)抗近10種新 漏洞 ，而且?guī)缀跛�有�?漏洞 都會(huì)部分或完全地威脅目標(biāo)系統(tǒng)安全。賽門鐵克在這一時(shí)期還記錄到7360種新的Win32 病毒 和蠕蟲變種，比2004年上半年增長(zhǎng)了64%。這一時(shí)期MyDoom蠕蟲變種感染全球電子郵件 服務(wù) 器數(shù)量達(dá)到了頂峰，互聯(lián)網(wǎng)上的電子郵件每12封中就有1封感染這種 病毒 。此外賽門鐵克的統(tǒng)計(jì)數(shù)據(jù)還表明，宣布發(fā)現(xiàn)新 漏洞 與利用 漏洞 攻擊 的新 病毒 代碼 出現(xiàn)之間的時(shí)間差是6.4天。 Q：你認(rèn)為 漏洞 利用傳播率提高的主要原因是什么？ A：蠕蟲和 病毒 傳播率顯著提高的一個(gè)因素是由于當(dāng)今 電腦 之間是互連的，這急劇改變了消費(fèi)者的生活方式和我們?cè)谌�球開展業(yè)務(wù)的方式。 在發(fā)現(xiàn) 漏洞 之后，修復(fù) 漏洞 的機(jī)會(huì)窗口變小。那么在IT團(tuán)隊(duì)部署新補(bǔ)丁前進(jìn)行測(cè)試那段時(shí)間，如何才能確保組織受到保護(hù)？一旦得知存在新 漏洞 ，在銷售商提供補(bǔ)丁、IT團(tuán)隊(duì)測(cè)試完成之前，組織必須采取一些安全措施。例如，安全專家確認(rèn)新發(fā)現(xiàn)的 漏洞 后，他就向相關(guān)的IT管理員通告問(wèn)題票據(jù)(Trouble Ticket)。 IT管理員作為安全衛(wèi)士必須提高數(shù)據(jù)備份的頻率，以把數(shù)據(jù)損失降到最低。他還需要恢復(fù)已有備份。 賽門鐵克的可管理的安全 服務(wù) (Security Services ，MSS)小組收到 病毒 警報(bào)后，若發(fā)現(xiàn) 軟件 銷售商尚未發(fā)布補(bǔ)丁，那么為防患于未然，MSS小組就要升級(jí)網(wǎng)絡(luò)安全產(chǎn)品的簽名和保護(hù)配置，以阻擋 攻擊 、爭(zhēng)取時(shí)間，堅(jiān)持到發(fā)布補(bǔ)丁為止。現(xiàn)場(chǎng)安全小組運(yùn)行Symantec Enterprise Security Manager(ESM)風(fēng)險(xiǎn)評(píng)估 工具 ，根據(jù)掌握的資產(chǎn)信息識(shí)別哪些系統(tǒng)存在風(fēng)險(xiǎn)，最后他們確定了在線登陸系統(tǒng)會(huì)成為潛在的 攻擊 目標(biāo)。 MSS小組得知補(bǔ)丁已發(fā)布的消息，就立刻通報(bào)現(xiàn)場(chǎng)IT小組。后者就運(yùn)行補(bǔ)丁管理解決方案，如Symantec LiveState Patch Manager，然后下載、測(cè)試、部署并驗(yàn)證補(bǔ)丁。部署好補(bǔ)丁后，安全小組就運(yùn)行Symantec Enterprise Security Manager ，發(fā)現(xiàn)遠(yuǎn)程系統(tǒng)已被感染，文件被刪除了。他們就用數(shù)據(jù)恢復(fù) 工具 恢復(fù)系統(tǒng)內(nèi)部被刪除文件，再為系統(tǒng)打好補(bǔ)丁。然后再把所有系統(tǒng)都檢查一遍，確定它們都已安全后，就可以關(guān)閉問(wèn)題票據(jù)了。為防止以后類似的 攻擊 ，小組開展了一次安全意識(shí)教育活動(dòng)。 Q：業(yè)界有不同的補(bǔ)丁管理解決方案。一些銷售商認(rèn)為，有了補(bǔ)丁管理解決方案，就能一勞永逸的解決補(bǔ)丁管理問(wèn)題，而其他銷售商則傾向于和其他 工具 配合使用。你是站在哪一邊？ A：賽門鐵克認(rèn)為補(bǔ)丁管理只是組織內(nèi)全部系統(tǒng)和配置管理計(jì)劃中很小的但是很重要的一個(gè)方面。絕大多數(shù)業(yè)內(nèi)專家同意我們的觀點(diǎn)。丹·弗戈(Dan Vogel)在2003年9月29日做的META Practice報(bào)告就認(rèn)為補(bǔ)丁管理涵蓋一系列不同領(lǐng)域，如應(yīng)用優(yōu)化、業(yè)務(wù)連續(xù)性、變更管理、配置管理、問(wèn)題管理、安全管理、 服務(wù) 請(qǐng)求管理、 軟件 分發(fā)、 軟件 管理和測(cè)試實(shí)驗(yàn)室管理。 Q：把補(bǔ)丁管理視為更大的系統(tǒng)和基礎(chǔ)設(shè)施實(shí)施的一部分需要組織內(nèi)不同IT小組的合作。如何才能確保合作成功？ A：賽門鐵克從安全角度來(lái)看問(wèn)題，這是它的一個(gè)優(yōu)勢(shì)。特別是在大中型 企業(yè) ，IT組織都有安全小組和實(shí)施小組。這兩個(gè)小組關(guān)注的焦點(diǎn)不同，但目標(biāo)一致，都是為了維持組織基礎(chǔ)設(shè)施的集成性。安全小組負(fù)責(zé)發(fā)現(xiàn) 漏洞 ，而實(shí)施小組一旦得到 病毒 警報(bào)，就修復(fù) 漏洞 。準(zhǔn)時(shí)的溝通、處理方法和工作流程對(duì)于解決安全問(wèn)題很關(guān)鍵。 IT組織內(nèi)的兩個(gè)小組時(shí)常會(huì)因?yàn)槊媾R的挑戰(zhàn)、目標(biāo)和優(yōu)先度不同，發(fā)生步調(diào)不一致的情況。因此在選擇補(bǔ)丁管理解決方案時(shí)，與理解IT組織內(nèi)兩個(gè)小組不同需求的銷售商合作，無(wú)疑有很大益處。賽門鐵克提供的解決方案彌補(bǔ)了IT組織內(nèi)部安全小組和實(shí)施小組之間存在的障礙，充分發(fā)揮每個(gè)小組的專業(yè)經(jīng)驗(yàn)，來(lái)解決當(dāng)今的補(bǔ)丁管理方面面臨的挑戰(zhàn)。 Q：如何確保將補(bǔ)丁管理流程成功的集成到現(xiàn)有的IT流程中去？ A：補(bǔ)丁管理流程的存在是關(guān)鍵要求。事實(shí)上，META GROUP的馬克·凡斯頓(Mark Vanston)在2003年11月19日的所做的META Practice報(bào)告指出，補(bǔ)丁管理要想獲得成功，需要充分利用其他流程的核心競(jìng)爭(zhēng)力，如變更管理和配置管理。 把補(bǔ)丁管理流程集成到現(xiàn)有IT流程的范圍大小，主要取決于組織的大小和它的基礎(chǔ)設(shè)施復(fù)雜程度及它現(xiàn)有的IT流程。小 企業(yè) 和小組織很少會(huì)有很復(fù)雜的IT流程，它的集成也就不會(huì)太復(fù)雜。 具有復(fù)雜的基礎(chǔ)設(shè)施和IT流程的大組織也許想通過(guò)專業(yè) 服務(wù) 使得集成更為方便。賽門鐵克提供廣泛的咨詢 服務(wù) ，根據(jù)理論和經(jīng)驗(yàn)給出最好的咨詢建議。賽門鐵克的咨詢 服務(wù) 評(píng)估、設(shè)計(jì)、計(jì)劃和實(shí)施有效的安全系統(tǒng)和存儲(chǔ)管理解決方案和業(yè)務(wù)。對(duì)于補(bǔ)丁管理的建議包括 漏洞 預(yù)先管理和補(bǔ)丁管理流程如何才能連續(xù)的概要說(shuō)明，說(shuō)明每一流程元素的線性流程圖，以及對(duì)于每一流程元素的具體討論。綜合這些，賽門鐵克的解決方案和 服務(wù) 使組織能夠建立和維護(hù)更安全的業(yè)務(wù)環(huán)境。 Q：目前正在辯論到底應(yīng)該采用無(wú)代理(agentless)還是基于代理(agent-based)的補(bǔ)丁管理解決方案。你的觀點(diǎn)是什么？ A：這個(gè)辯論很有意思。當(dāng)組織選擇最好的補(bǔ)丁管理實(shí)施方案時(shí)，需要考慮究竟哪種模型最適合他們的特定環(huán)境。小組織、中小組織及大組織對(duì)于系統(tǒng)和基礎(chǔ)設(shè)施的管理需要采取不同的辦法。具有高度分布的異構(gòu)環(huán)境的 企業(yè) 組織最好選擇基于代理的實(shí)施方案，它可以很好的與大系統(tǒng)或基礎(chǔ)設(shè)施管理接方案整合，同時(shí)還可以帶來(lái)一系列好處——如減少網(wǎng)絡(luò)流量、有能力設(shè)置符合加密數(shù)據(jù)的安全策略。另一方面，小組織適合選擇無(wú)代理的實(shí)施方案，因?yàn)樗�更容易安裝和配置。簡(jiǎn)而言之，并沒(méi)有通用的補(bǔ)丁管理解決方案。到底是選擇無(wú)代理還是基于代理的解決方案，選擇正確的解決辦法取決于各個(gè)組織的環(huán)境。 Q：為什么業(yè)界主要關(guān)注于微軟的 漏洞 和補(bǔ)丁？這樣做對(duì)嗎？ A：毫無(wú)疑問(wèn)，微軟飽受業(yè)界對(duì)于其 軟件 產(chǎn)品 漏洞 的抨擊。微軟的操作系統(tǒng)和應(yīng)用程序在大多數(shù)組織里占據(jù)統(tǒng)治地位，尤其是在客戶端及中小組織和小 企業(yè) ，這一事實(shí)足以說(shuō)明為什么微軟產(chǎn)品的 漏洞 受到這么多關(guān)注，為什么許多IT部門集中主要精力管理微軟產(chǎn)品的 漏洞 。同樣，這顯然也是現(xiàn)在絕大多數(shù)補(bǔ)丁管理解決方案主要針對(duì)微軟環(huán)境的原因。 但是，我們認(rèn)為以微軟為中心的觀念需要改變了。在象SecurityFocus這樣的 論壇 里的文章清楚的表明，許多 漏洞 實(shí)際是發(fā)生在其他平臺(tái)上的，特別是開源環(huán)境。隨著Linux操作系統(tǒng)在 企業(yè) 服務(wù) 器環(huán)境中的作用日漸增長(zhǎng)，以及IT部門日益重視 服務(wù) 器端的補(bǔ)丁管理，對(duì)于支持非微軟環(huán)境的補(bǔ)丁管理解決方案的需求正在開始增長(zhǎng)。 Q：要是有客戶認(rèn)為實(shí)施補(bǔ)丁管理解決方案會(huì)帶來(lái)益處，但覺(jué)得補(bǔ)丁管理不值得投入那么多錢，你會(huì)如何回答他？ A：在目前安全環(huán)境下，實(shí)施補(bǔ)丁管理解決方案絕對(duì)很重要。與安全缺口、大范圍停運(yùn)、生產(chǎn)率降低或客戶信心喪失等造成的潛在成本和收入損失相比，實(shí)施補(bǔ)丁管理解決方案的成本可謂是小巫見(jiàn)大巫。考慮到現(xiàn)在的安全形勢(shì)，公司不應(yīng)忽視對(duì)于補(bǔ)丁管理的需求。 漏洞 及相關(guān)的補(bǔ)丁數(shù)量使得用人工的方法不可能成功的管理打補(bǔ)丁的過(guò)程，而且人工管理成本非常高。在馬克·凡斯頓的META Practice報(bào)告中總結(jié)道，低效的補(bǔ)丁管理會(huì)對(duì)組織向客戶提供 服務(wù) 的能力造成很大影響。2003年5月30日的Gartner調(diào)研公司的一份市場(chǎng)分析(《補(bǔ)丁管理市場(chǎng)是快速增長(zhǎng)的市場(chǎng)嗎？》)，則估算出每年用人工方式部署1000臺(tái) 服務(wù) 器的補(bǔ)丁需要花費(fèi)30萬(wàn)美元。而用補(bǔ)丁管理解決方案的話，則不超過(guò)5萬(wàn)美元。Gartner的分析報(bào)告認(rèn)為，補(bǔ)丁管理更有效也更經(jīng)濟(jì)。