IT专业面板为什么补丁管理这么难？

1、我们找到了长期打补丁问题背后的原因。Equifax Corp. NotPetya。想哭。这三个安全问题有一个共同点：都是公司长期不修复系统造成的。在这三种情况下，攻击都使用了已发布补丁的安全漏洞，受害者未能及时应用补丁。

2、尽管许多纸上谈兵的安全专家建议避免成为这些漏洞的受害者，但一旦补丁发布，它们就会立即应用。实际的IT领导认为这并不像外界想象的那么简单。

3、那么是什么让补丁管理变得如此复杂呢？在本月的IT专家组讨论中，我们与一些专家组成员进行了交谈，以了解情况。

4、补丁怎么了？

5、公司仍然难以跟上他们需要申请的补丁数量，这可能并不奇怪。自2019年初以来，只有微软为其Windows、Office、SQL Server和Exchange Server产品线发布了超过1万个更新和补丁。添加所有其他供应商和通常构成业务IT环境的供应商，并留下一个可能数十万的补丁列表。

6、多米诺英国和爱尔兰首席信息官保罗沃茨说：“打补丁是一个问题，原因有很多。”我们面临的最大挑战之一是减少允许的停机时间，以便应用这些修补程序，这些修补程序现在变得越来越快，可能会被滥用为延迟机会的机会。"

7、正如-(安信国际EMEA网络安全主管Ian Thornton-Trump)指出的，基于云的基础设施和精益终端可以减少维护公司需要做的事情，但物联网设备和物理基础设施等内部部署设备仍然是一个潜在问题。

8、威廉集团首席信息官Killian Faughnan反驳道：“即使有一个精益的终点，我认为它仍然是一个问题。”除非你完全是SaaS(在这种情况下，这是别人的问题)，否则你仍然需要维护一些东西。在某种程度上，您最终将为您的流程或桌面应用程序使用第三方工具几乎是不可避免的(即使您完全是VDI)，您也可以为您的开发人员提供库。"

9、萨福克大学的IT主管Peter O'Rourke补充道：“当您转向混合的本地、云和SaaS环境时，这些不同平台之间的复杂交互数量也将呈指数级增长。”

10、这是非常重要的；补丁管理如此具有挑战性的一个重要原因是，为了避免停机，IT团队必须确保将补丁应用于系统不会破坏它们与任何必须使用的相互依赖的系统的兼容性。结合管理技术债务的挑战，它可能会给有效的补丁管理带来巨大的问题。

11、“彼得对混合物的看法非常准确。使复杂的技术债务更加严重，”桑顿指出。

12、“我对补丁管理的主要担忧是它的症状，”Faughnan继续说道。“在我看到补丁管理做得很好的公司中，我也意识到技术债务非常低或管理得很好，质量受到高度关注，安全文化实践非常好，价值被用来创造而不是创造收入。商业动机。”

13、对于瓦茨来说，大多数组织在补丁管理方面面临的最大挑战是遗产可持续性和相关的技术债务考虑。

14、他说：“当你着眼于未来时，很容易忘记过去。”当然，如前所述，SaaS和PaaS补丁管理是别人的问题3354，但你的遗产将处于危险之中，许多案例研究已经证明了这些问题的痛苦细节。"

15、回应和责任

16、当补丁管理被认为是“别人的问题”时，“别人”甚至可能不是外部提供者——。它可能是另一个业务部门。这会滋生你自己的问题。

17、“我认为除了补丁管理和IT交付功能之外，肯定会有其他问题的讨论，”O'Rourke说。“商定方法的实施应在IT内部进行，但风险和投资案例是否可能位于组织的其他地方？”

18、桑顿-他对IT部门正在进行的补丁流程和安全监控感到满意，但他指出，设定期望值和SLA是关键。“问题是，操作人员应该是专家。如果你不是领导者，你将陷入地盘之争和指责游戏，”他说。“你毁了这一切，因为你不认识一个人。”

19、Faughnan同意这一点，但他补充说，补丁管理最终将在必要时在一定程度上转移给应用程序所有者或业务团队。

20、“在我以前的生活中，我获得了补丁管理的所有权，”他解释道。“虽然我们确实在整个业务中修改了补丁级别，但还是遇到了伊恩之前提到的问题。——应用程序所有者需要放弃一些时间来测试补丁，这需要时间来完成补丁的发布。企业主和团队也有同样的问题。”

21、这是一个老问题：IT和业务经常看不到他们的眼睛。在爱尔兰父系姓氏之前使用

22、Rourke认为，在大多数情况下，更广泛的业务仍然不了解有效补丁的价值，并且仍然很难获得必要的停机时间和资源。他说，他的核心信念是，合规风险，包括与补丁管理相关的风险，必须由整个组织来承担。

23、“彼得百分之百正确。它不能只落在IT的肩上，”桑顿说。“信息技术可能拥有服务器，但企业拥有数据，它们需要成为管理战略的一部分。”

24、与此同时，福南对这种方法的真实性更加怀疑。"我同意这个理论，但是有人看到它在实践中起作用了吗？"他问。他说，根据他的经验

25、Thornton-Trump报道了该领域的一些初步成功，并解释说他已说服该公司的三个业务部门将其十大最关键应用程序列表汇总到灾难恢复目的。“他们花了一段时间，”他说。“但现在我列出了30个最关键的应用程序。这是一个开始，但需要合作和信任的精神。”

26、虽然Faughnan认识到这些努力的价值，但他对长期有效性持怀疑态度。

27、“我认为，维持稳定的补丁合规计划需要嵌入式文化，”他说。“我同意伊恩和彼得的观点;这只是我提出的可持续性问题。你们两个显然让事情朝着正确的方向发展，从前面通过事物的声音引导。所以担心的是，当你发生什么事情时或其他驾驶人士离开?“

28、冒险生意

29、补丁管理和合规性之间的这种关系是Watts也在努力解决的问题，特别是当涉及到让更广泛的企业理解与未修补的设备相关的风险时，企业会像IT一样感受到风险的负担。

30、“如果一个系统没有修补，其债务也会产生风险，而且业务可以指责IT，它必须认识到潜在的商业风险和影响是他们自己和他们自己的，”他说。“企业应该对IT施加压力，以确保其风险得到充分管理，而补丁和漏洞管理是管理风险的关键控制措施。”

31、“这对我来说很有趣，业务似乎更担心与修补相关的停机时间，而不是来自未修补基础设施的存在主义网络威胁，”Thornton-Trump补充道。“当你把内心的东西带回来时，它会让我感到震惊，而这一切应该永远不会在外面开始。”

32、他还建议不要同时更新固件和软件，“一切”应该通过变更管理流程来确保顺利实施。

33、“伊恩关于变革管理的观点很好，我同意这一点，”奥罗克说。“然而，几乎不可能保证生态系统的所有部分都能运行到类似的变更管理水平。随着组织转向效用计算，我们放弃了许多曾经拥有的控制措施。”

34、对于Faughnan和Thornton-Trump来说，实用主义因素至关重要。以同样的速度修补你房产内的所有东西可能并不总是可行的;在这些情况下，IT团队可以使用帕累托原则(也称为80/20规则)等方法来确定将工作重点放在哪里。

35、“我认为可能最重要的是了解你所拥有的东西，”Faughnan说。“IT最困难的方面之一就是能够持续准确地了解您所拥有的内容以及它所处的状态。可以说强制标记这样的事情使这更容易，但您总是会有一些业务领域TLC比其他人少。“

36、Thornton-Trump表示同意，并指出即使一家公司拥有完整的IT资产库存，该库存也只是一次收购或撤资，而不是不准确。

37、“绝对，”Faughnan继续道。“在过去的几年里，谁没有经历过这样的一个?如果不是几个!我认为我们所有人都倾向于区分'补丁管理'和'补丁合规'是非常重要的;前者这是一个基于“补丁完美”的虚构天堂的过程，后者是我们认为我们“足够好”的界限。“

38、禅和实用修补的艺术

39、安全公司经常推广补丁自动化工具作为解决这一特定挑战的方法，但这些工具的适用性并未得到普遍接受。在O'Rourke的经验中，他们的成本过高，而Watts在基础设施层面使用它们非常谨慎。

40、“我非常警惕数据中心的自动修补，”他说，“但我当然鼓励在端点使用它。但是，在你对自动化有信心之前，你需要采用正确的测试方案。预算和时间表都很紧张，更好的投资是自动发现和报告，所以至少你可以根据你的补丁工作集中的位置做出明智的基于风险的决策。“

41、Faughnan分享了这些观点。他认为，虽然有用，但自动化也需要在错误可能产生重大有害影响的领域与人类判断相平衡 - 这一论点以前他曾经应用于数据科学。

42、另一方面，Thornton-Trump表示，他愿意自动化基础设施补丁 - 在系统得到备份和测试环境模仿生产的条件下。

43、“所有这一切都表明，你需要尽可能努力地游说，以获得合适的预算和时间来实现这一目标，”Watts补充道。“它应该被纳入TCO预测中，作为资产维持生命的关键组成部分，以便CapEx和OpEx能够实现这一目标。”

44、“在很多方面，我们应该将CI / CD管道作为自动修补的机制，”Faughnan继续说道。“如果做得好，他们可以使用最新的第三方库提供可靠的应用程序，扫描漏洞，并在部署之前进行测试 - 所有这些都无需人工干预。”

45、如果自动补丁工具不是答案，那么IT经理如何优化他们的本地补丁工作?如果他知道这一点，瓦茨说，他将是一个非常幸福的人，但他建议它需要足够的支持。

46、“如果你采取优先考虑的方法，那么你必须开始考虑如何保护那些需要100%合规的环境，以保护那些较少修补的环境，”他说。“但老实说，你真的不希望自己处于一个必须选择补丁的地方而不是你不选择的地方。”

47、Thornton-Trump认为，争取MSP来处理端点修补可能是一项巨大的资产，可以腾出IT团队来提供更有价值的服务，并专注于更棘手的数据中心补丁部署。然而，他承认在这些团队中自然不愿意将补丁管理外包，因为这通常会导致担心整个IT职能将很快跟进。

48、Watts目前正在调查使用托管漏洞管理服务的可能性，他表示“这将是合乎逻辑的下一步”，尽管它是“早期”。就像Thornton-Trump一样，他的理由是外包漏洞管理将释放其他任务的支持周期，尽管他警告说“你不能外包风险”。

49、补丁管理是一个复杂的主题，很明显每个组织都需要一种不同的方法。但是，在最佳实践方面存在一些常数。

50、对于Faughnan来说，文化是补丁管理的关键。他说，为了实现可持续发展，它必须成为企业DNA的一部分。与此同时，桑顿采取了更务实的观点。他建议通过灾难恢复和全面测试来降低停机风险。然而，Watts关注业务风险而非停机风险。

51、“确保不这样做的风险由合适的人员在业务和技术中拥有。适当地投资于人员，流程和技术以有效地管理修补。衡量有效性并将其转化为风险缓解，以证明流程的合理性它的时间，成本和复杂性。“