补丁管理和漏洞管理有什么区别？

Question

我最近一直在想这个。他们是一样的吗？或者后者不仅仅是对补丁的管理？

Answer 1

为了找出不同之处，让我们先看看这些类型的管理到底做了什么。

修补程序管理

补丁管理包括软件更改的规划、获取、测试和安装。这可以是任何类型的软件:操作系统、驱动程序、应用软件或设备上的固件。不一定要安装修补程序来修复漏洞，但可以安装修补程序。通常情况下，它是用来修复bug或将软件更新到最新版本的。在中等规模或大型组织(通常有补丁管理的地方)中，有一些特殊的软件解决方案可用于将补丁部署到大量系统。举个例子：WSUS就是这样一个软件。

漏洞管理

以下是维基百科漏洞管理：

“识别、分类、补救和减轻漏洞的周期性做法”，特别是在软件中。

我想补充的是，漏洞不仅存在于软件中，而且还可能存在于硬件中，甚至在与“物理世界”更相关的进程或事物中，如门(例如弱锁)或办公室的窗口。但是，一个典型的漏洞管理不会处理这些事情，尽管它可以。这一点因组织而异。

另见ISO 27000中的下列定义：

可被一种或多种威胁利用的资产或控制的弱点

软件中的漏洞通常通过安装修补程序来消除。这就是为什么有些人说，漏洞管理是补丁管理的一部分。我不会这么说，而原因是:有时会出现一些情况，在这些情况下，您必须运行系统，而这些漏洞是无法修复的。例如，您有一个客户希望您使用非常老的操作系统运行服务器。如果管理层认为这个客户很重要，那么您有时别无选择，只能接受这些漏洞的存在，并且可能无法修补它们。显然，您必须安装其他控件来保护此服务器。这将是“管理”漏洞的一部分。(一个更简单的例子是:有时没有补丁。)

结论

修补程序和漏洞管理听起来很相似，但不同。补丁管理涉及软件的补丁、更新和修复，这些软件由于几个不同的原因而必须安装。这些补丁的推出必须事先计划好，您需要知道哪些机器在什么时间需要修补程序。(如果你操作几千台台式电脑，这个任务比听起来要困难得多。)

漏洞管理只处理(大部分)软件的安全性(有时是安全性)问题。很多时候，这些问题可以通过补丁来解决，但肯定并不总是这样。漏洞可以存在于各种系统中，可以通过多种不同的策略来消除。管理员可以改变防火墙策略、网络设置、购买新硬件、培训员工等。无限期地用补丁修复漏洞几乎总是一个很好的解决方案，但它可能并不总是可能的。

Answer 2

它们有很多重叠，但它们肯定不一样。

我认为漏洞管理是一项更重要的活动，而修补则是管理漏洞的可能活动之一。从这个意义上说，漏洞管理比修补(或修补程序管理)多得多。大多数情况下，这是由安全专业人员管理的。我们经常看到可用修补程序没有覆盖的漏洞。

理想情况下，应根据修补程序修复的漏洞对补丁作为活动进行优先排序。然而，在最基本的成熟度级别上，它往往是it管理员执行的一项独立活动。在这种情况下，我们有时会看到与已知漏洞无关的补丁(可能修复了与安全性无关的缺陷--或者仅仅是一个常规活动)。

Answer 3

当您应用补丁时，您希望修补程序修复供应商产品中已知的漏洞，但您依赖软件供应商对他们自己的产品进行漏洞管理。

但是，您的总体漏洞管理不仅仅是对组织的软件包应用修复的总和。这是它的一部分，但不是全部，甚至不是大部分。

漏洞管理是一种持续的实践，用于识别、分类、量化和减轻组织IT系统中的弱点。软件故障经常被利用来获得对系统的访问，但是有很多方法可以破坏一个组织的IT系统而不利用软件缺陷。