應用修補程式可能會導致意外停機 – 但是將它們移除也會導致重大問題,是否有可能找到平衡點?
修補軟體漏洞往往是費時和繁瑣的工作,但企業需要有一個適當, 明確的策略,以最大輻度地降低決定何時或甚至更新重要企業系統所涉及的潛在風險。
.
網路攻擊者將通過部署針對這些特定漏洞攻擊的惡意軟體,定期尋求未收到最新漏洞攻擊更新的安全系統。這可能是對特定公司的故意攻擊的一部分,或者組織可能陷入漏洞攻擊的特定漏洞,利用更普遍攻擊的交叉攻擊中。
例如, WannaCry利用了Eternal Blue的一個漏洞,全球各組織在2017年5月的活動發佈時尚未修補。如果受到攻擊影響的所有組織在發佈時修補了他們的系統 – 而不是忽略警告– WannaCry可能會產生更小的影響。
什麼時候確定哪些系統需要更新,對技術主管來說是一個挑戰。
Hargreaves Lansdown首席信息官Jonathan Kidd表示:“有些事情你需要立即進行修補。可能還有其他一些事情你需要進行非常強大的分析,你需要對此作出決定。”
還有一些補丁的問題 , 可能會在應用時引起無意的問題或中斷 – 這可能會阻止組織應用它們,特別是對關鍵業務系統。
“你的修補週期將受到你產業風險的驅動,在某些情況下,安裝中斷的風險可能更大,”Kidd在倫敦舉行的2019年歐洲信息安全會議期間發表講話說。
但是對於某些系統來說,應用補丁的想法也是一個挑戰 – 一些組織擔心他們運行的應用程式和操作會斷缐,因為他們擔心如果更新它們可能不會重新上線。
Ewa Pilat說:“有一些網路遺產無法修補,系統已經老化了20年,帶有一張紙條 – 請不要碰,因為我們不知道會發生什麼。” Jaguar Land Rover全球首席信息安全官,儘管她明確表示這不是汽車製造商的問題。
“對於這些,你可以有一些額外的安全控制,但不是所有系統都可以修補,因此需要適當的分析風險和評估來決定什麼需要,何時以及如何修補”她補充說。
花時間進行評估可以 大大有助於確定“皇冠上的寶石”以及需要立即採取的行動 – 而不是可以延遲或在某些情況下不採取的行動 – 如果系統完全是隔離的。
“這就是進行風險評估的重要原因。如果你有一個新的產業,你應該立即修補。但如果你有遺留系統,你可能需採取更謹慎的方法”Kidd說。
但是,IT和安全團隊必須小心,不要單獨匆忙進行這些判斷:必須諮詢業務以確保獲的最佳結果。
“我們必須與了解最關鍵業務系統的業務合作夥伴進行對話 – 因為我們無法定義關鍵業務,只有業務才能定義業務關鍵,”聯合利華Unilever副總裁兼全球首席信息安全官Bobby Ford說。
“一旦我們理解了這一點,我們必須優先考慮 – 如果我們想要成為專業的安全風險管理者,我們必須能夠優先考慮;我們無法保護所有系統,因此我們必須與業務部門合作以確定保護那些關鍵系統“福特說。
Source: https://www.zdnet.com/article/cybersecurity-how-to-get-your-software-patching-strategy-right-and-keep-the-hackers-at-bay/