青藤云安全：细说补丁管理工具

补丁管理并不是一个新的概念，但它仍然是所有安全和运维人员最关注的话题之一，其重要性不言而喻。根据Gartner的权威报告显示，当下99%的漏洞都是安全人员一年前就知道的漏洞，并且这些漏洞都有对应的补丁可以来修复它们。

因此，安全团队、合规团队和监管人员都在推动如何更快地进行补丁修复。然而，补丁管理是一项复杂的活动，在整个补丁部署过程中，必须确保应用程序和系统的稳定性。

一、不同平台的补丁类型

如何将补丁迅速部署到服务器、终端PC、数据库和应用程序等资产上，已经成为企业机构亟需解决问题。但是相比于终端补丁修复，服务器和应用程序补丁的修复要难得多。

服务器补丁管理

服务器的补丁管理工具需要提供补丁更改、安装部署到服务器等功能。服务器管理员必须与业务线人员确保在正常业务服务不受影响的基础上完成补丁修复工作。补丁管理工具要能够在特定的维护窗口期间完成补丁修复，以及处理与虚拟化、基础设施依赖关系和集群相关的问题。为了应对服务器补丁修复的复杂性，补丁管理工具必须要能够对多个平台(如Windows、Linux、Unix、AIX和Solaris)进行补丁修复，还要能够对内部数据中心和公有云上的工作负载进行补丁修复。在选择补丁修复管理工具的时候，要考虑到平台复杂性、安全团队人员配置、IT技能和补丁功能需求。

第三方应用程序打补丁

及时地修补第三方应用程序补丁，已成为安全和运维人员关注的焦点。有一些软件供应商会频繁地发布补丁，而有一些软件供应商则很少发布补丁。有些应用程序补丁比其他应用更难安装。由于IT资源有限，企业组织通常会在应用程序补丁修复方面落后。但是，第三方应用程序补丁工具可以为应用程序提供企业级补丁，帮助管理员节省获取、分析和重新打包补丁的时间。

PC客户端补丁管理

大多数企业组织使用客户端管理工具(CMTs)来修补Windows PC漏洞。这是由于CMTs的广泛使用和Windows PC补丁的商品化。微软通过一个包来部署整个月的安全补丁，这简化了补丁修复某些方面的工作。例如，管理员将不再需要确定一个补丁是否替换了另一个补丁。当然这种修复方式，也会使得企业组织在应用程序兼容性方面面临新的挑战。

二、补丁管理工具必须具备的功能

运维人员使用补丁管理工具应该能够自动化完成目标系统的补丁部署、安装，并且报告修复状况，如PC、服务器、数据库和应用程序。补丁管理工具可以是：（1）包含在客户端和服务器生命周期管理套件中的插件；（2）增强客户端和服务器生命周期管理套件的外挂程序；（3）独立部署的解决方案。

PC、服务器、数据库和应用程序有不同的补丁管理需求，当企业机构必须对多个平台进行打补丁时，这些差异就更加复杂了。但是，所有补丁管理工具都应该提供以下功能：

（1） 资产清点：补丁管理工具必须清晰了解硬件、操作系统和软件的资产清单状况，才能确定是否需要打补丁，打什么样补丁等问题。

（2） 补丁库：补丁管理工具提供了一个存储库，用于存储和管理环境中的相关补丁。大多数工具可以自动从独立软件供应商(ISV)下载补丁，并且大多数工具都能够存储从其他来源获得的补丁。

（3） 补丁分析：补丁管理工具需要根据业务环境和公共漏洞(如CVE评级)帮助管理员确定补丁部署的优先级。此外，也有的企业组织使用漏洞评估工具来帮助确定补丁的优先级。

（4） 部署和安装：补丁管理工具应该具有回滚功能以及重新启动控件功能，并且能够确保只在特定的维护窗口期间部署补丁。

（5） 报告：补丁管理工具必须能够报告环境的当前状态，并提供历史报告。

补丁管理工具的核心价值是，帮助企业组织跨平台和应用程序快速地修补易受攻击的系统补丁。大多数企业组织会自动修补部分IT基础设施(例如，Windows PC)，而对其他平台和应用程序则采取临时修补方法。例如，许多企业组织使用本地脚本，甚至在发现一个关键漏洞时手动安装Linux补丁。但这很耗时，而且常常会导致应用程序未打补丁。自动化补丁管理程序的目标之一是在特定的时间内快速地部署补丁。当然不同平台、系统，补丁修复时间也是有所不同。

需要注意的是，从安全的角度来看，补丁修复的速度应该基于漏洞和威胁状况。Unix和Linux环境兼容性问题更复杂，通常有需要更长补丁修复时间。

三、自动化补丁管理工具选型指南

大多数补丁管理工具评估标准都基于特定的技术上下文(例如服务器、终端或第三方应用程序补丁)。当然对于自动化补丁管理工具选择，也有一些通用的选择标准。企业组织应该评估以下标准，作为整体补丁管理评估的一部分。

集成的漏洞评估

企业组织越来越多地寻求一种综合的方法来进行漏洞评估和补丁管理。漏洞评估工具帮助识别漏洞，并将它们与补丁管理工具进行关联。过去，漏洞评估工具与修补工具是分开的，需要用户自己将漏洞与补丁进行关联，非常麻烦。因此，对于已经拥有漏洞评估工具的企业组织，在考虑补丁管理工具时候，应该考虑那些能够与漏洞评估工具进行的关联的产品。

安全性配置和合规管理

一些补丁管理工具提供安全配置和合规管理功能，以满足对法律法规要求或内部配置标准的刚性需求。

部署和调度

补丁管理员必须能够控制补丁部署的行为。评估补丁管理工具的企业组织应该考虑以下功能：（1）“存储和转发”选项(例如，部署到一个仓库位置并在本地重新分发)；（2）下载和执行(允许节点下载补丁，但在稍后执行)；（3）运行安装前和安装后任务；（4）重新启动控件；

此外，日程安排也是一个需要重点的考虑因素。微软在每个月的第二个星期二发布安全补丁(又名“补丁星期二”)，大多数企业组织都会根据这个来计划他们的Windows补丁修复。时间的细微差别可能会使基于周二补丁的补丁修复变得复杂。例如，有时候一个月的第二个星期三，在这个月的第二个星期二之前，所以管理员不能简单地创建一个规则，“在这个月的第二个星期三创建test group”。一些补丁管理工具拥有日历感知调度功能，以帮助避免这些类型的问题。

评估工具在不同平台上执行这些功能的方式也很重要。许多工具支持Windows，但是很少有工具提供对Linux、Unix和AIX的全面支持。

SaaS交付的补丁管理工具

随着移动和终端普及，补丁管理工具向基于SaaS的交付模型转移的趋势，一些补丁管理供应商提供SaaS版本。中小型企业组织也开始为数据中心服务器采用SaaS补丁管理工具。

当然对于类似服务器补丁管理等复杂场景，在选择补丁修复管理工具时候，有一些特殊的标准要求。例如针对虚拟化架构有特定的要求。首先，管理员需要确保在必要时可以修补管理应用程序。其次，虚拟服务器环境通常具有脱机VM。当这些系统脱机时，它们没有IP地址，因此通常对补丁工具不可见。一些补丁管理工具需要在脱机状态下扫描和修补VM。

此外，PC终端通常是独立的孤岛，但服务器之间常常存在关系。在对它们应用更改时必须考虑到这些关系。例如，应用程序服务器、Web服务器和数据库服务器都是相互依赖的，并且可能需要特定的补丁安装和重启顺序。因此在选择补丁管理工具，需要考虑那些可以提供工作流功能，允许管理员自动对更复杂的场景进行补丁。

在服务器补丁管理这块，笔者建议可以选择基于Agent主机安全厂商相关产品。国内以青藤云安全为代表新一代主机安全厂商，可以提供补丁的详细信息，包括补丁的修复建议、修复命令、修复影响，补丁当前版本和修复后版本，并提供各维度的补丁风险特征，包括内核风险、存在exp、远程利用、本地提权、CVSS详情、相关的CVE编号。同时，还能够实现每天默认进行全部主机安全补丁的检查，用户也可手动触发全部主机的安全补丁的扫描，也单独对某一台主机进行安全补丁功能的扫描。

写在最后

购买了补丁管理工具并不能保证成功地自动化修复。企业组织必须在定义良好的上下文中使用补丁工具，否则自动化补丁可能会给业务环境带来不稳定性。企业组织必须有流程来控制其IT配置并防止配置偏移。

未来，最重要的补丁管理替代技术存在于IaaS环境中。随着人们向“不可变基础设施”思维转变，补丁管理员可以通过使用新修补的组件重新配置应用程序和相关基础设施来“修补”其基础设施。这将有助于确保基础设施是标准的和安全的。这种方法不一定能够解决所有补丁管理的挑战，特别是围绕应用程序测试和兼容性问题。对于无法修补的系统和应用程序，还是需要对应的安全厂商解决。