微软“补丁星期二”不再延续 企业如何发现与修复漏洞

微软安全公告为IT管理员提供月度漏洞及相关补丁列表已有几十年历史。但去年11月，微软警示称“补丁星期二”安全公告可能不再延续，2017年4月，这一警示变成了现实。

依赖微软安全公告的公司企业，如今只能在安全更新指南门户(SUG)上找到软件漏洞的信息。这一改变，对已不靠周期性查看SUG获取新漏洞和补丁信息的补丁管理员而言，有些困扰。而且，研究分析自身独特环境所需安全补丁的附加时间，也只会延长补丁修复的时间。虽然该门户可按CVE、知识库(KB)文章、产品或发布日期搜索，该过程的改变也将影响到全世界IT管理员和安全人员的日常操作。

微软称，SUG具备用户一直以来要求的功能，且允许用户根据自身特定需求进行定制。尽管该门户有很多高级功能，这一改变还是产生了关于补丁管理活动影响的担忧。

安全更新指南门户

对微软的抗议，有部分与公司企业不得不对自身IT过程做出的改变有关。安全公告已存在几十年之久，管理员们都围绕该可预测的公告发布，制定了各自的补丁管理过程。微软的格式更改将给补丁管理人员造成麻烦，可能会让他们花费更多的时间去研究并识别出自身特定环境所需的安全补丁。

因此，依赖微软安全公告的公司企业，必须现在就改变他们的过程，或者找到替代解决方案以简化和提高效率。

过去与现在

举个该格式更改的例子：Adobe Flash Player 漏洞（微软分发给其用户的），老格式是是一个可读的安全公告，可用于快速确定哪些Windows平台和产品受影响。

如今，用SUG，该漏洞信息被打散到了网站上各平台单独的列表中。同一个 Adobe Flash Player 漏洞现在长这样：

拉取漏洞信息

即便没有微软长期以来发布的安全公告，公司企业和IT管理员们也能从几千种来源中获得漏洞信息，包括微软和Adobe。国家漏洞数据库——美国政府基于标准的漏洞管理数据仓库，威胁馈送提供商，软件漏洞管理平台等资源，都可以帮助公司企业在漏洞影响到业务之前就发现并修复之。

漏洞评级

公司企业一旦发现所用软件中有漏洞，IT管理员就得为漏洞排个序，按危险程度依次处理。漏洞的危险程度要综合多方面因素进行评估，包括该漏洞对系统的潜在影响、攻击方法、缓解措施、有无漏洞利用程序存在，以及是否在补丁发布前就已被利用等等。

漏洞评级分为：

1. 极度危险

通常用于可致系统被入侵的远程可利用漏洞。成功漏洞利用未必需要任何互动，且已有野生漏洞利用。此类漏洞可存在于FTP、HTTP和SMTP服务中，或者在某些客户端系统中，比如电子邮件应用或浏览器。

2. 高危

一般用于可致系统被入侵的远程可利用漏洞。成功漏洞利用未必需要任何互动，但在漏洞公布之时尚无已知的利用程序。此类漏洞可存在于FTP、HTTP和SMTP服务中，或者在某些客户端系统中，比如电子邮件应用或浏览器。

3. 中度危险

该级别用于可致局域网上系统被入侵的漏洞，存在于SMB、RPC、NFS、LPD和不用于互联网的类似服务中。通常用于描述针对FTP、HTTP和SMTP的远程可利用DoS漏洞，以及可致系统被入侵但需要用户互动的漏洞。

4. 较小危险

通常用于跨站脚本和提权漏洞。该评级还用于可使敏感数据暴露在本地用户眼前的漏洞。

5. 不危险

通常用于非常有限的提权漏洞和本地利用DoS漏洞。该评级还用于非敏感系统信息披露漏洞（例如：应用程序安装路径的远程披露）。

其他考虑

除了危险程度，IT管理员还得考虑以下情况：

影响——该漏洞能影响到什么(系统访问、DoS、敏感信息公布等等)

位置——该漏洞会在哪里被利用：本地系统、局域网或远程(网络外)

解决方案状态——有没有补丁或其他方法能修复该漏洞？

CVE引用——用行业标准CVE辅助跨组织沟通

受影响的产品——可显示对手是否某一产品或多个产品(影响多个操作系统版本的情况)

对手信息——问题总结

解决方案信息——该漏洞如何修复

很多公司担心微软改变其产品漏洞信息发布的方式。是的，微软过去惯于发布安全公告，帮助IT人士理解终结众多漏洞的补丁，修复影响多个产品的漏洞。然而，值得庆幸的是，如今有一些解决方案可以实现类似的功能——不仅仅是弥补安全公告的缺乏。