微軟“補丁星期二”不再延續 企業如何發現與修複漏洞

微軟安全公告為IT管理員提供月度漏洞及相關補丁列表已有幾十年曆史。但去年11月，微軟警示稱“補丁星期二”安全公告可能不再延續，2017年4月，這一警示變成了現實。

依賴微軟安全公告的公司企業，如今隻能在安全更新指南門戶(SUG)上找到軟件漏洞的信息。這一改變，對已不靠周期性查看SUG獲取新漏洞和補丁信息的補丁管理員而言，有些困擾。而且，研究分析自身獨特環境所需安全補丁的附加時間，也隻會延長補丁修複的時間。雖然該門戶可按CVE、知識庫(KB)文章、產品或發布日期搜索，該過程的改變也將影響到全世界IT管理員和安全人員的日常操作。

微軟稱，SUG具備用戶一直以來要求的功能，且允許用戶根據自身特定需求進行定製。盡管該門戶有很多高級功能，這一改變還是產生了關於補丁管理活動影響的擔憂。

安全更新指南門戶

對微軟的抗議，有部分與公司企業不得不對自身IT過程做出的改變有關。安全公告已存在幾十年之久，管理員們都圍繞該可預測的公告發布，製定了各自的補丁管理過程。微軟的格式更改將給補丁管理人員造成麻煩，可能會讓他們花費更多的時間去研究並識別出自身特定環境所需的安全補丁。

因此，依賴微軟安全公告的公司企業，必須現在就改變他們的過程，或者找到替代解決方案以簡化和提高效率。

過去與現在

舉個該格式更改的例子：Adobe Flash Player 漏洞（微軟分發給其用戶的），老格式是是一個可讀的安全公告，可用於快速確定哪些Windows平台和產品受影響。

如今，用SUG，該漏洞信息被打散到了網站上各平台單獨的列表中。同一個 Adobe Flash Player 漏洞現在長這樣：

拉取漏洞信息

即便沒有微軟長期以來發布的安全公告，公司企業和IT管理員們也能從幾千種來源中獲得漏洞信息，包括微軟和Adobe。國家漏洞數據庫——美國政府基於標準的漏洞管理數據倉庫，威脅饋送提供商，軟件漏洞管理平台等資源，都可以幫助公司企業在漏洞影響到業務之前就發現並修複之。

漏洞評級

公司企業一旦發現所用軟件中有漏洞，IT管理員就得為漏洞排個序，按危險程度依次處理。漏洞的危險程度要綜合多方麵因素進行評估，包括該漏洞對係統的潛在影響、攻擊方法、緩解措施、有無漏洞利用程序存在，以及是否在補丁發布前就已被利用等等。

漏洞評級分為：

1. 極度危險

通常用於可致係統被入侵的遠程可利用漏洞。成功漏洞利用未必需要任何互動，且已有野生漏洞利用。此類漏洞可存在於FTP、HTTP和SMTP服務中，或者在某些客戶端係統中，比如電子郵件應用或瀏覽器。

2. 高危

一般用於可致係統被入侵的遠程可利用漏洞。成功漏洞利用未必需要任何互動，但在漏洞公布之時尚無已知的利用程序。此類漏洞可存在於FTP、HTTP和SMTP服務中，或者在某些客戶端係統中，比如電子郵件應用或瀏覽器。

3. 中度危險

該級別用於可致局域網上係統被入侵的漏洞，存在於SMB、RPC、NFS、LPD和不用於互聯網的類似服務中。通常用於描述針對FTP、HTTP和SMTP的遠程可利用DoS漏洞，以及可致係統被入侵但需要用戶互動的漏洞。

4. 較小危險

通常用於跨站腳本和提權漏洞。該評級還用於可使敏感數據暴露在本地用戶眼前的漏洞。

5. 不危險

通常用於非常有限的提權漏洞和本地利用DoS漏洞。該評級還用於非敏感係統信息披露漏洞（例如：應用程序安裝路徑的遠程披露）。

其他考慮

除了危險程度，IT管理員還得考慮以下情況：

影響——該漏洞能影響到什麼(係統訪問、DoS、敏感信息公布等等)

位置——該漏洞會在哪裏被利用：本地係統、局域網或遠程(網絡外)

解決方案狀態——有沒有補丁或其他方法能修複該漏洞？

CVE引用——用行業標準CVE輔助跨組織溝通

受影響的產品——可顯示對手是否某一產品或多個產品(影響多個操作係統版本的情況)

對手信息——問題總結

解決方案信息——該漏洞如何修複

很多公司擔心微軟改變其產品漏洞信息發布的方式。是的，微軟過去慣於發布安全公告，幫助IT人士理解終結眾多漏洞的補丁，修複影響多個產品的漏洞。然而，值得慶幸的是，如今有一些解決方案可以實現類似的功能——不僅僅是彌補安全公告的缺乏。