+设为首页 +添加到收藏夹
软件的缺陷或漏洞随时都可能造成系统崩溃或者入侵,所以,一旦发现漏洞,人们通常的第一反应是——赶快打补丁。但是,几乎每天都有新的软件缺陷、漏洞被发现,伴随着无数相应的补丁或者临时解决办法,安装如此多的漏洞与补丁是需要占用大量资源的。另外,仓促推出的补丁有时未必安全,相反,或许还会引入稳定性、性能等方面的隐患。怎么办?看来,漏洞管理不是仅仅打补丁就够了,这里面隐藏着许多学问。权威人士告诉你:打补丁前要作衡量,建议通过漏洞的影响度、流行度、简易度乘积(ips)与企业资产联系起来,以判断该漏洞的安全风险,设定阈值,最终达到科学地打补丁的目的。
【相关文章:来!把我的Blog数据转移到X-Spac】补丁与漏洞管理 形成资源漏斗 【扩展阅读:网络仿真软件性能比较】
【扩展信息:X-Space站长更换模板教程(1)】先来看一组数字。根据meta group的报道,2002年全年共发现与公布了4192个漏洞。同时,实际统计表明,平均一个系统管理员全年共花费1920个工时,将4个补丁打到120台服务器上,即在一个服务器上打一个补丁的平均时间大约为4小时,其中包括备份安装测试等环节。假设该名系统管理员具有良好的技能训练,可以在20分钟内阅读研究完一个漏洞及其补丁解决方案,那么,4192个漏洞总共需要172个人天。再假设其中只有10%的漏洞适用于自己的网络环境,这样413个漏洞,每个相应的补丁部署在10台服务器上,共需要2065个人天(即同样配置的服务器数量为10个左右)。我们可以看到,这两个人天数字加在一起,差不多是10个全职安全管理员一年的工作量,这里还没有考虑对厂家发表的补丁进行测试与验证的过程,也没有考虑打补丁失败造成的二次资源消耗。可以看到,补丁与漏洞管理已经成为一个很大的资源漏斗,占用大量的系统管理员资源。任何一名企业管理者对这些系统与安全隐患不能视而不见,但是,这样巨大的资源消耗也承受不起,必须找到更有效的解决途径,以填补这个巨大的“漏斗”,这些解决途径可以包括以下措施:引入知识共享或者外部知识库(专业服务),减少漏洞与补丁学习过程消耗;建立有效的补丁管理流程与备份回卷计划;引入自动化的补丁与漏洞管理工具,加速布部过程
补丁的风险成本
上面的数字说明打补丁对于任何一个企业来说,代价是非常昂贵的。这种成本包含有收集、了解、测试、部署、备份恢复以及风险等成本。但是,不打补丁的“成本”是数据失密、丢失、窜改、拒绝服务、系统恢复以及其它无形损失等。如果用一个简单的数学模型来表达以上有关打补丁的成本分析,即打补丁的最佳时机的话,就是下面的成本不等式:部署成本+补丁失败概率×失败成本 <= 攻击入侵概率 × 攻击入侵成本。通常我们使用三个数字来描述一个漏洞的安全风险特性:i(影响度,即攻击入侵成本)、p(流行度,即多大范围内传播了该漏洞)、s(简易度,即利用该漏洞的难易)。后两者的乘积(p×s)大约可以反映该漏洞导致攻击入侵的概率。不等式的右边i×p×s代表的是该漏洞对应的不打补丁成本,本质上反映的是补丁管理决定的防御强度(是否可以承受),参照图1的示意图。在曲线的最高点,按照100%安全的要求,即使是ips乘积为0的补丁(即风险极小)也必须完全部署。... 下一页
