Cloud & Telecom Security

针对这次紧急的MS08-067, 我们在周五一早，就开始向管理层汇报，并动员了所有的安全团队和服务器、应用运行团队的服务器管理员：
1 在周末对Windows服务器打MS08-067补丁
2 另外，紧急更新了全球所有的病毒服务器代码，保证可以查杀相关蠕虫
3 加入了新的LANDesk对客户端的补丁auto-fix分发
4 重新检测全球所有的防火墙系统，内网隔离系统，确保封锁135/139/445端口
5 启动紧急响应流程，要求SOC保证监视和通知，相关人员保持24小时可联系。
至今，非常感谢各个团队的理解和辛苦工作，艰苦努力，进展良好。接下来的一周非常关键，我们还需努力。也祝各位同行同仁都能顺利过关。

2008年10月24日, 微软发补丁修危急漏洞 影响所有Windows版本。微软在MS08-067号安全公告（“KB958644”）中警告称，这一缺陷存在于Server服务中，黑客可以利用一个经过特别设计的远程过程调用请求执行任意代码。

建议大家迅速行动，在Windows服务器、各个版本桌面机的补丁系统、反病毒、防火墙和IPS系统等做好紧急处理。 Read more…

“完成了一次漂亮的风险评估，发现了很多重要的关键的漏洞。这些漏洞大大小小存在于各种服务器和网络设备等，分别由不同的部门和小组管理运维。接下来如何策划管理来保证这些漏洞能够得到及时的修复呢？”
“我会向领导正式汇报，然后召集一次漏洞修补的启动会，和大家一起制定修复计划，然后督促大家完成”
“在执行过程中，发现很多服务器上的补丁不能按时打上、漏洞不能按时修复。服务器小组和应用小组的理由也很充分：资源不够；陈旧应用不清楚，不敢随便打补丁或重启；申请不到变更时间窗口；等等。这时，你怎么办？”
“我会继续沟通，必要时向领导汇报”
“向领导汇报什么？”
“汇报当前漏洞修补的进度，我们碰到了麻烦，需要领导支持”
“领导肯定会支持你，但是你到底需要什么样的支持呢？“
”希望领导命令系统小组必须尽快修补漏洞，或者告诉我们可以接受风险、放弃修补”
“如果你是CIO，又会如何做决定呢？”
“#￥%@&”
Read more…

Entering Internet age, new software vulnerabilities are found every day and the corresponding patches and temporary workarounds are coming with them. The software vulnerabilities may cause system breakdowns or are being exploited at any time. As the mass of installations of the patches costs lots of system resourse or may cause the restarting of the system, and performance decreases. On the other hand, rushing on patch might not be secure or might bring potential dangers to the stability and functionality of a system. How can these problems be solved? The patch and vulnerability management is not only the business of the security administrators but also the focus of the entire IT operation sector. We would like to share our knowledge and best practices on managing patches and vulnerabilities with the industry.

Figures and problems

Lets read some figures first. As reported by Meta Group, a total of 4192 vulnerabilities were found in 2002 and at the same time, as per the real statistic, system administrators cost a total of 1920 work hours to make up all 4 patching to 120 servers. This means that it will take about 4 hours to patch a server – including backup, installation and debugging. Suppose the system administrators are skilled and they can completely learn vulnerability and patch solution within 20 minutes. This needs 172 persons to cost an entire working day for making up the 4192 vulnerabilities. In case of only10% – 413 vulnerabilities – of them are adapted to our own network environment and each correspondent patch is on 10 servers, it needs 2065 persons/day (there are about 10 servers with the same configurations. From these figures we have learnt that by adding up the days of the two persons, there needs to be almost 10 full time administrators, while that doesn’t include the processes of testing and validating the issued patching and the secondary resource consuming resulted from the failure of patching making up. Thus we can see that the patching and vulnerability management has been a huge resource funnel and wastes a lot of system management resources. Read more…

There are always more and more vulnerabilities and patches in our IT life. It has become one part of our job. Isn’t it? What’s the biggest pain in your mind?

If you said “why patch management? just go ‘windows update’”, then you must be a individual computer user, not an administrator.

The hardest is to balance the risk of hacking due to not to patch and system unstability or even crash due to new patch. According to common practice, security manager should have a process in place to test patches, with the help from system and application managers. The balance point is decided together. [My comment in Chinese]. See the below report by Roger… Read the rest of this entry »

这篇文章写于2004-2-23发表在中国计算机报。讨论了安全补丁的管理成本、打补丁的时机以及建立补丁管理系统的建议。

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

进入到当前的互联网年代，几乎每天都有新的软件缺陷、漏洞被发现，同时伴随着相应的补丁或者临时解决办法。软件的缺陷或漏洞随时都可能会造成系统崩溃或者入侵。但是大量的漏洞和补丁安装需要占用大量的资源，或许还需要系统重起，降低运行服务方面的数字，另外仓促推出的补丁也未必就是安全的，或许还会引入稳定性、性能方面的隐患。两者相权，如何取舍？不管怎样，补丁和漏洞管理不仅仅是安全管理员的事情，而已经成为整个IT部门运行的关注焦点。本文希望和大家讨论并共享在补丁以及漏洞管理方面的若干思路和经验教训。

数字与难题

先来看一组数字。根据Meta Group的报道，2002年总共发表了4192个漏洞，同时按照一个实际的统计，系统管理员总工花费了1920个工时，来将4个补丁全部打到120台服务器上，即在一个服务器上面打一个补丁的时间大概为4小时，包括备份安装测试等环节。假设系统管理员有很好的技能训练，可以在20分钟内阅读研究完一个漏洞及其补丁（解决方案），那么4192个漏洞总工需要172个人天，再假设其中只有10％的漏洞适用于自己的网络环境，这样413个漏洞，每个相应的补丁布署在10台服务器上，这样共需要2065个人天（即同样配置的服务器数量为10个左右）。我们可以看到，这两个人天数字加在一起，差不多是10个全职的安全管理员，这里还没有考虑对厂家发表的补丁进行的测试和验证过程，也没有考虑打补丁失败造成的二次资源消耗。可以看到，补丁和漏洞的管理已经成为一个很大的资源漏斗，占用大量的系统管理员资源。

管理者对这些系统和安全隐患不能视而不见，但是，这样巨大的资源消耗也承受不起，必须找到更加有效的解决途径，这些解决途径包括以下措施：
? 引入知识共享或者外部知识库（专业服务），减少漏洞和补丁学习过程消耗
? 建立有效的补丁管理流程和备份回卷计划
? 引入自动化的补丁和漏洞管理工具，加速布署过程

打还是不打？
考虑到上面的数字，我们看到，“补丁”绝对不是免费的，而是很昂贵的。这个成本中包括收集、了解、测试、布署、备份恢复，以及风险成本。但是，“不打”的成本是数据失密、丢失、窜改、拒绝服务、系统恢复，以及其它无形损失等。简而化之，下面的成本不等式成立的时候，就是可以“打补丁”的时机：

布署成本＋补丁失败概率×失败成本 <= 攻击入侵概率 × 攻击入侵成本

通常使用三个数字来描述一个漏洞的安全风险特性：I(影响度，即攻击入侵成本)、P(流行度，即多大范围内传播了该漏洞)、S(简易度，即利用该漏洞的难易)。后两者的乘积（P×S）大约可以反映该漏洞导致攻击入侵的概率。这样，不等式的右边I×P×S代表的是该漏洞对应的“不打补丁”成本，本质上反映的是补丁管理决定的防御强度（是否可以承受），参照下面的示意图。

图：从风险管理角度看补丁管理
在曲线的最高点，按照100％安全的要求，即使是IPS乘积为0的补丁（即风险极小）也必须完全布署。这时的代价极高，通常不符合安全风险管理的投资回报原则。

从上面的不等式，我们可以看出，左面的布署成本和补丁失败成本决定了“合算”的IPS强度。如果我们将布署成本降下来，通过测试将补丁失败的几率降下来，则可以在保证投资回报的前提下，将补丁引起的损失和成本降到最低，就可以提高IPS决定的防御强度。

早打还是晚打？
通常认为，对于发现的漏洞和补丁应该尽快安装布署。但是，按照美国USENIX组织发表的一个针对CVE漏洞和补丁的研究数字，大概有18％左右的补丁后来进行了重新发布，即出现了补丁的补丁，也即意味着在第一时间安装上的补丁，有18％的可能会带来新的缺陷或安全漏洞。随着时间的推移，补丁本身的安全性和稳定性会上升，由此造成的损失风险相应降低。

参加下图，我们必须在早打带来的补丁失败风险与晚打带来的入侵攻击风险之间进行平衡，选择较好的时机。从对实际CVE漏洞和补丁的研究来看，新发表的“补丁”大概需要2周到4周左右的时间稳定下来，换句话说，在“补丁”发表后两周，考虑尽快布署可能是较为稳妥的时间。如果不满足这样的时间延迟，则需要自己建立更强大快速的安全实验室，专门来研究测试“补丁”。将大规模布署“补丁”的时间延迟提高到1周以内。

图：打补丁的时机

自动化
从前面的不等式我们看出，降低布署成本、减小补丁失败成本，可以提高“补丁管理”决定的安全防御强度。

降低布署成本的有效办法就是“自动化”，建立覆盖全网的自动化补丁知识库和管理系统，集中收集、建立、分发“补丁”包。这样的自动化系统可以带来下面所列的明显收益：

* 将整个补丁分发过程的时间窗口减小到极低
* 将每服务器/每补丁数小时的“工时”成本降到很低 －分发安装费用降到接近0，只剩下制作软件分发包、检查测试补丁安装结果的“工时”成本
* 保证全网在补丁配置管理方面的一致性

另外，减小补丁失败成本的办法是对补丁进行有效测试，具体做法可以是购买专业厂家的服务，也可以建立自己的安全实验室。这样的投资对于分布式的大企业来说，具有非常高的投资回报率。

流程
补丁本身的特点注定补丁管理不可能有很好的预见性，但是作为管理者，在流程和手段上，却不能不预见到补丁管理的特性和意义，及其实施中的具体问题。所有的补丁分发与管理工具只是帮助加速或者自动化相应的策略和过程，提高效率和质量而已，但是不可能改变逻辑。如果补丁管理流程本身是混乱的，那么自动化的后果也肯定是混乱。

补丁管理相关策略和流程的设计需要充分考虑以下相关的重要流程环节：

? 企业的安全策略：漏洞或者缺陷是对安全的威胁，安全策略应该覆盖针对漏洞和补丁的相应策略；补丁和漏洞管理流程则应该与上述策略相适应。
? 变更和发布管理：补丁的制作、测试、批准和布署应该纳入标准的变更和发布流程。如果当前尚没有完整的变更和发布流程，则在补丁管理流程中应该明确定义补丁的优先级或者分类、制作、测试、批准和布署以及验证等相关职位、职责和时间。
? 配置管理：按照ITIL的最佳实践，完整一致的中心配置管理数据库（CMDB）是保持高水平IT服务管理的保障。定义补丁和漏洞相关的配置管理条目，并通过流程保证及时正确的更新。
? 资产管理：如果已经具备了资产管理体系和流程，补丁和漏洞应该与具体的资产和相关业务优先级对应起来，正确设计不同关键性资产的特定流程。
? 备份恢复和业务连续性管理：补丁布署的前后都会与企业的备份恢复以及业务连续性管理有关，需要充分参考、在必要时修改更新备份恢复和业务连续性计划。
? 紧急响应：所有的补丁管理流程必须设计相应的紧急响应流程。从前面的数字，我们知道，即使是官方正式发表的补丁，也有相当的概率会出现自身新的缺陷或漏洞。并且与企业系统的应用关联在一起，补丁的漏洞是绝对不可忽略的。流程中必须保证这样的恢复和紧急响应环节。

管理层应该综合考虑相关的各个方面，充分借鉴在IT服务管理或者ITIL方面的实践经验，或者借助于外部的专业服务，设计与整体IT基础设施管理系统相匹配的补丁管理策略和操作流程。

在应用前面的自动化补丁管理系统之前，应该充分调查研究具体的IT环境和整个补丁生命周期的各种问题，设计较为周密的补丁管理策略和流程，至少应该明确定义补丁管理的使用范围、补丁优先级、补丁分发包的制作和测试、批准与分发安装、安装后测试、备份恢复计划等。

综述
补丁管理是当前IT系统管理中越来越繁杂的内容。补丁全部不打，安全风险太大；什么样的补丁都打，一方面成本很高，另外补丁本身带来的风险也不可忽略。本文建议通过漏洞的影响度、流行度、简易度乘积（IPS）与资产联系起来判断该漏洞的安全风险，设定阈值。一般情况下，留出2周左右的测试时间，尤其是对于电信、银行等关键性应用场合。布署自动化的补丁管理工具可以大幅减小漏洞收集和补丁布署成本，从而在相同投入情况下，提高补丁管理带来的安全强度。补丁管理必须建立相应的流程，该流程应充分参考借鉴ITIL的最佳实践，融入到整体的IT基础设施管理体系中去。