问题
我正在尝试向上级推销组织补丁/更新管理和防病毒管理的想法。到目前为止,我的提议得到了两种回应:
- 我们还没有遇到任何问题(我想补充一下我们知道)
- 我们只是不认为风险那么大。
问题
是否有任何资源可以帮助我推销这个想法?
有人告诉我,55-85% 的安全相关问题可以通过适当的防病毒和补丁/更新管理来解决,但告诉我的人无法证实这一说法。这能证实吗?
附加信息
我们的计算机(大楼内的计算机)中有 1/5 默认启用了 Windows 更新并安装了防病毒软件。我们的计算机中有 4/5 在公司外部,用户当前可以完全控制防病毒软件和 Windows 更新(我知道这是一个问题,需要一步一步来)。
答案1
我可以告诉你,补丁管理是每个 IT 审计员的首要任务,而且经常被检查。不给系统打补丁会使系统容易受到攻击者的窥探。打补丁是必须的,但在投入生产之前也应该进行测试。通常需要打的唯一强制性补丁是安全补丁。无论系统只能通过 LAN 还是 WAN 访问(尽管需要优先考虑 WAN)。
现在你可以说“嘿,这有什么风险?我们以前没有遇到过这样的问题!”。在某些国家,如果你的公司发生了泄露个人信息的事件,而且有证据表明你没有采取适当的措施来保护你的环境(补丁管理就是其中之一),你的公司可能会因此次泄露事件承担法律责任。在欧洲,从明年开始,新的数据保护立法将使负责制定如何存储这些个人信息的政策的上级甚至可能亲自对此承担责任。
答案2
根据我的经验,如果用户不小心点击垃圾邮件中附带的横幅广告或 zip 文件等,零日威胁通常仍然会找到感染系统的方法。
即使安装了企业防火墙、补丁管理和最新的防病毒软件,许多零日恶意软件仍能轻易攻破这些系统。通常,风险最大的是那些不太懂电脑、喜欢点击的用户。
尽管如此,补丁管理确实减少了攻击面一些程度和法律后果而言:采取措施减少攻击面将有助于保护您的职业生涯,甚至保护您个人免于承担法律责任(如果您恰好住在欧洲)。
据,直到...为止实际的就好处而言——我实际上并不认为使用补丁管理后病毒感染率会显著降低。最大的因素是用户及其浏览习惯,以及(希望)检测率相对较高的最新防病毒软件。
在我工作过的一家公司,每年花费 1 万美元用于 Numara 补丁管理,其 200 台计算机的网络感染病毒的情况并不少见(我们每年会发生 10-20 起严重的恶意软件感染事件)。
在另一个地方,我已经利用业余时间支持了 5 年(只有 25 个工作站),他们已经 3 年多没有感染过任何病毒。我所做的就是将 Windows 更新设置为每天自动安装更新,并在所有 Web 浏览器中安装 Adblock Plus(IE 允许使用脚本代替插件)。通过阻止几乎所有横幅广告(以及其他广告,如 Youtube 广告),我能够大幅减少当今许多恶意软件使用的攻击面,并改善用户的浏览体验。如果你能将横幅广告排除在外,那么依赖横幅广告作为感染系统的媒介的恶意软件就没有机会了。
在我看来,好像人们过于关注补丁管理(就其本身而言,很少能依靠补丁管理来阻止恶意软件),而系统管理员忘记了还有其他非常有效的方法可以减少攻击面,而且实施起来不需要花费一分钱。
做一些事情来减少被起诉的机会是件好事,但你也需要记住,这实际上应该工作也一样。
答案3
由于您的环境中显然启用了自动更新,因此响应几乎是正确的。除非自动更新过程被破坏,否则安全性不会有任何提高或者您拥有无法自动更新的软件包,存在潜在的安全风险,需要通过补丁管理解决方案进行覆盖。
“补丁管理”现在已不再是一种安全解决方案,因为几乎每个软件包都带有自动更新服务。它更关心正常运行时间和可用性,因为它支持与您的环境相关的 QA 工作流程(例如,首先将补丁发布到实验室环境,然后发布到一小群“beta”用户,最后发布到所有人)。如果您不担心由于错误的软件而导致系统崩溃的可能性,系统,程序或者病毒定义更新并且不要运行没有自动更新过程的软件,那么补丁管理解决方案可能不是您最迫切的需要。
现在你有安全相关问题是用户确实遇到的 4/5 的设备“完全控制”自动更新配置。并不是因为他们有能力禁用自动更新 - 如果计算机在域内或受NAP 解决方案您可以轻松地强制重新激活。但因为这意味着用户可能是本地管理员 - 这将大大扩大攻击面和攻击的潜在影响。您应该专注于改变这一点。