六、IT人员克服补丁管理问题了吗?
补丁和漏洞管理工具能够胜任这项任务:发现及保护基本上静态、受控制的环境中易受攻击的机器。在IT管理人员看来,技术方面被认为是头等大事,他们极有可能花好多年的时间来完善漏洞扫描、补丁测试以及软件分布等工作。
据企业管理联合会的调查显示,接受调查的250名IT管理人员中超过四分之三(76%)其公司内部使用了某种补丁管理产品;并且表示,打补丁是一个重要或者很重要的过程。Van Dyke 软件公司对300名网络管理员开展了第五次年度企业安全调查,结果表明,30%的人仍在为打补丁而操心,这个比例已经在逐年减少。一些业界观察人士猜测,如今比较少的人为打补丁而操心,这表明补丁管理产品以及IT管理人员采用的方法日趋成熟。
Exactech公司的网络管理员Craig Bush说:“我们其实没有经常变化、需要打补丁的东西,除了远程访问用户以外,我们为他们的系统打补丁向来很困难。目前,我们只好等客户机连接到我们的VPN来更新补丁,这并不总是定期的。”
Bush表示,他的打补丁方法很成熟,但如果开发商能够留出足够的时间,让用户可以把补丁部署到分布式机器上之前先进行合理测试,也许有助于简化这个过程。
他说:“开发商应当确保自己在向外发布补丁之前先进行全面测试。与微软等闭源软件公司相比,这对采用开源技术的公司而言要容易得多,前者在补丁和修复程序方面从开发到发布的周期往往比较长。”
不过业界观察人士表示,如今及将来打补丁方面的问题更多地与用户环境有关,而不是与开发商的更新有关。他们提醒,尽管补丁管理技术比较成熟,但随着网络环境不断发展,加入了更多的虚拟化和复杂的应用基础架构,打补丁需要与时俱进。而反过来,像Altiris(现隶属赛门铁克公司)、BigFix、冠群、St. Bernard、PatchLink和Shavlik这些开发商需要把支持虚拟化及其他技术的功能添加到各自的工具中,以便有效地为客户环境打上补丁。
企业管理联合会的调研主任Andi Mann说:“打补丁是一项比较成熟的技术,但并不是说它已在掌控之中。现阶段,在虚拟化环境这样的领域打补丁仍然很不成熟;服务器和桌面虚拟化把原有的打补丁规则抛到了窗户。”
据Mann声称,虚拟化不仅带来了复杂性,还带来了需要在同一段时间内打上补丁的数量激增的机器。这可能会导致IT管理人员加快补丁测试过程,这最终可能会导致生产环境机器出现配置上的冲突。Mann说:“测试是打补丁的一个关键环节;由于零日攻击这些威胁迫在眉睫,加上虚拟机数量激增,确保所有更新程序都可以协同运行、保护网络环境就更加困难了。”
市场调研公司Ptak, Noel & Associates的首席分析师Jasmine Noel表示,另外要给相关的依赖系统打上补丁;打补丁可能会成为摆在IT管理人员面前的一个新挑战。她表示,随着网络环境变得更加复杂、分发补丁的开发商日益增多,测试层面以及补丁分发会打破许多IT管理人员以前打补丁的方法。
她说:“仍需要努力的就是,如果好几家开发商同时发布了补丁,就要确定谁先打上、谁后打上;因为基础架构涉及各个层面:硬件、物理设备上的操作系统、虚拟化软件以及虚拟机(操作系统和应用堆栈)。所以,怎样先后安装同一天发布的惠普、微软和Oracle的补丁才是正确的顺序呢?”
