漏洞与补丁不是一回事 打上补丁也会有漏洞
作者: 日期:2016年04月27日 阅:4,422

漏洞和补丁之间存在相互作用关系,它在任何大型机构的信息安全活动中都是必不可少的部分。找到漏洞和补上它们是两个相互关联的过程,单独实施其中的哪一个,作用都不会特别有效。

640.webp (2)

漏洞管理Tripwire 公司近期就漏洞管理中遇到的打补丁难题进行了调研,这次调研的目的是面向企业中的打补丁问题,获取有价值的视角,帮助我们制造更好的产品,降低风险。

这项调研询问了483位 IT 专家对打补丁问题的理解。结果中有不少有趣的数据点可供讨论:

半数受访者认为自家 IT 团队并不理解打补丁和修漏洞之间的区别。

对这事的反应大致有两种:“当然!”和“啥?”如果没有在漏洞识别机制上面花过些功夫,你可能也对这个问题有些困惑。事实是,整个行业总是把漏洞与补丁混淆在一块,但它们不是一回事!

我们利用 CVE 号来识别已知漏洞,厂商发布的增量代码里也会发布一些 CVE 号,但它们不是一对一的关系。有时候,补丁不能修复所有的漏洞,或者,它们会修复某几种平台上的漏洞而不管其它平台;有时候补丁就是升级,有时则不是;有时候你可以只打上一个补丁或者进行一次升级,就能补上一堆漏洞。

image (1)

在看到上面这段话之后,我们很可能对打补丁和修漏洞两者之间的关系感到更加困惑。通常而言,对单一的情景和单一漏洞而言,我们不会产生困惑,但我们还没谈到机构需要应对补丁和漏洞的数量呢。

举一个例子来说明上述观点。43%的受访者表示,微软被认为是最容易打补丁的平台,拿它做例子再合适不过了。

2015年,微软发布了122个平台上的535个补丁,修复了501个漏洞。最乐观的估计是,要想让业务安全运转,企业需要在2015年每天打上1.5个补丁。哪怕这些补丁里只有一小部分拥有我们前面提到过的复杂度,也会成为机构难以想象的沉重担子。

修漏洞和打补丁之间的困惑只是企业补丁管理周围众多麻烦事之中的一件。我们还没说到分发中过程遇到的技术挑战、绩效审计、部门隔阂等等问题。厂商持续地推送补丁更新,外加各种策略,要是还没有产生断层才奇怪呢。

成熟的补丁管理和真正的漏洞风险防护之间存在断层,而复杂性是一个关键成因。事实上,漏洞修复和给应用打补丁之间的错位可能正是导致入侵事件增加的主力。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章