记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

为什么明知有风险,还是不愿意自动更新补丁

2017-06-05 08:50

昨天我发了一个帖子,呼吁人们停止禁用自动更新。

 

原帖内容回顾

如果你经常拖延打补丁和更新,那么你该为结果负责,不过像微软、苹果和谷歌这样的公司也有一部分责任。

在你面前有两条路:要么为结果问题的负责,要么为解决问题而努力,当事情涉及到IT行业,太多的角色可以去指责。

上周末席卷全球的”WannaCrypt”是一个很好的例子,提醒我们及时为电脑和其它电子设备打补丁是很有必要的。但是修补漏洞对某些用户而言可能是一个痛苦的过程,微软、苹果、谷歌这样的公司在鼓励用户快速修补漏洞方面能发挥很大的作用。

及时的修补漏洞是抵御恶意软件攻击的最好方式,也可以说是最有效的方式,毕竟“苍蝇不叮无缝的蛋”,一个没有漏洞的系统,直接堵住了攻击者进入的通道。但如果不能及时的安装好补丁,结果就不可想象了。

顺便说一下,我说的“及时”,不是按周或者按月来讲的,而是按天、甚至是小时而言的。技术是快节奏的,信息安全技术尤其如此,所以,如果涉及到你的切身利益,真的没有时间在那边嗯嗯啊啊的磨叽个没完。攻击者可不是依照你的时间表来行动的。当然,我也清楚,实际情况中有诸多不便导致立即安装所有的补丁是不太现实的,不过你需要有一个有效的针对漏洞修复和事件响应的计划。

选择不安装补丁,就好比把头埋在沙子里,并不是一个解决方案。

现在,你可以做的一件事就是:开启自动更新,如果你现在禁用这个功能。

你可能有一个很好的借口来解释你为什么这样做,这个借口也有一定的效力,毕竟修补漏洞不是一件愉悦的事情,它需要花费时间,但是你仍然需要这样做。最有效的方法是选择自动更新,如果你禁用这些机制是不利的。

在过去的几十年时间里,我遇到过无数的文章,它们讲述如何在整个系统中禁用自动更新,虽然这些文章大部分都是善意的,但是也很危险,因为它们告诉人们如何去做一些人们自己都不明白的事情。

十年前,这样做可以接受,但是时过境迁,在如今这个恶意软件泛滥,网络攻击愈发复杂的情况下,从一个漏洞被披露、发布了补丁,到这个漏洞被攻击者使用发动广泛的攻击,只需要几个星期。

在这方面,行业中的一些公司正在努力,协助用户一起让修复漏洞更加简单、友好,不过他们可以做的更好。

    1.在安全补丁描述里,不要混合其它废话

用户允许一个公司自动修补系统,依赖于信任这家公司,而公司应该认识到这一点并尽其所能的不辜负这份信任。没错,我这里吐槽的就是window10捆绑销售的问题。

安全补丁,应该只是安全补丁。

    2.修补方式尽可能的简便、无影响

修补漏洞应该尽可能的快速和没有痛苦,除非绝对必要,用户不必为了获得补丁就去下载一个新的操作系统,尽可能的不改变系统工作流程或方式。

    3. 理想情况时,补丁越少越好

发布补丁是一个损害用户信任的事情,每发生一次,整体的信任关系就动摇一次。

代码用户不可能百分百的完美,但这仍然是目标。 “先开船,发现漏洞之后再补”,这种态度充斥着整个技术行业,腐蚀性和破坏性相当明显。

    4.回滚更新应该更加容易

一旦出现问题,对于用户和IT管理员而言,回滚更新比修补补丁更易操作。

目前,苹果IOS平台,用户不能轻易的回滚更新,只能等待另一个补丁来修复,这是一个非常笨拙的方式。

结果收到了很多来自用户的反馈,他们说了自己为什么选择禁用自动更新的原因。

这里是分割线  

    很明显的,人们对于“更新”有一些强烈的看法,对于大多数人来说,禁用或延迟更新的原因是由于曾经遭遇过一些不愉快的经历。

我梳理了收到的一些反馈,并对这些反馈做了相应的评论,筛选部分内容给大家看看:

“更新似乎总是发生在让人讨厌的时候”

是的,我能理解,虽然windows10现在有工具,在更新应用时可以让你更好的控制。

“我不断的被催促安装windows10,但我真心不想要它”

我明白,微软对windows10产品非常自豪,并希望有更多的人使用它,但是微软使用的window更新机制,给用户带来的麻烦事相当大的,这会破坏信任。

“更新太耗时”

我能感受到你的痛苦,iOS或macOS的批量更新,几乎就是一场对你宽带的压力测试;如果你已经好几个月没有开机windows机器了,重新使用时修补补丁是一个痛苦的过程。

“更新改变了太多的东西”

嗯,这也是我特别讨厌把安全更新混合在功能更新中的原因。拿iOS举例,获得更新的唯一方法就是下载一个完整的更新包,更新所有的心功能。是的,这很烦人,但你没有其它选择。

“更新搞乱了我的系统,甚至造成了大问题”

我能感受到你的痛苦,更新补丁的时候,似乎总是会给系统造成混乱和麻烦,这真是严重的伤害了对企业的信任,所以宁可关闭自动更新功能。

“我不信任微软/苹果/谷歌”

那你为什么还在使用他们呢?

“我不使用自动更新,而是选择手动打补丁”

这可是个大工程,你需要时刻保持关注,否则,一个失足就可能会沦陷。 你也可以使用类似Flexera的个人安全检查产品来帮助你保持对补丁的跟踪,不过即使这样也有很多工作,而且不能保证你能轻松的下载补丁和修复过程,事实上,你可能觉得这样做更烦人。就连Flexera公司自己也指出:“在一个正常的私人PC机上,如果你没有一个自动化的解决方案,那么你需要掌握25~30种不同的更新机制来修复大约75个应用程序的补丁”,这是一个相当大的工作量。

“如果它没有坏,就不要修理它”

这点可以理解,毕竟多一事不如少一事,不过请记住,需要打补丁,意味着该系统在技术上可以被攻破。

“这是我的系统,我有权按自己的想法去处理它”

是的,我无话可说。

这里是另一条分割线

我明白,修补漏洞是一个相当痛苦的过程,它是费时的、可能打乱工作流程、造成极大的不便。但是,抛开这些说辞,这是你必须做的一件事。

如果你是一个家庭用户,你可以像抛骰子一样来选择是否打补丁,一切后果自负。

但对于企业来说,这是一个完全不同的问题。

如果你是一个IT管理员,妥善处理危险是你的责任,如履薄冰。 如果你为我工作,对漏洞采取置之不理的松懈态度,我会解雇你(临场处死)。如果压力来自公司管理层(偷工减料、节省开支),那么这种态度对公司是一个潜在威胁,你应该表达出自己的不满(可能同样会卷铺盖走人,因为大多数公司都没有足够的资源去应对网络攻击)。

文章来源:ZDNet,MottoIN小编整理、翻译,转载请注明来自MottoIN

知识来源: www.mottoin.com/102394.html

阅读:74674 | 评论:0 | 标签:技术控 修补方式 安全补丁 更新补丁

想收藏或者和大家分享这篇好文章→复制链接地址

“为什么明知有风险,还是不愿意自动更新补丁”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云