Microsoft和NIST合作創(chuàng)建企業(yè)修補指南

微軟與美國國家標準技術(shù)研究院(NIST)攜手創(chuàng)建了NIST指南，以在企業(yè)部門中應(yīng)用安全補丁。這兩個組織現(xiàn)在正在邀請其他感興趣的各方為該新指南提供意見。該邀請對供應(yīng)商，公司或單身人士均有效。

這項工作的結(jié)果將是NIST特別出版物1800實踐指南，系統(tǒng)管理員可以按照該指南來組織或優(yōu)化公司的內(nèi)部修補程序。

該指南在NIST(美國政府負責(zé)制定行業(yè)指南的組織)的支持下，有望產(chǎn)生巨大的影響。

扎根于2017年勒索軟件爆發(fā)

微軟與NIST的這種合作伙伴關(guān)系的工作始于2018年，是名為“關(guān)鍵網(wǎng)絡(luò)安全衛(wèi)生：修補企業(yè)項目”的項目的一部分[ PDF，NIST主頁 ]。

微軟在推動其發(fā)展方面發(fā)揮了關(guān)鍵作用。該公司表示，它開始研究在2017年發(fā)生三起勒索軟件(即WannaCry，NotPetya和Bad Rabbit)后，公司如何修補其計算機機群。

微軟表示，即使有安全更新可用，許多受到打擊的組織也未能安裝補丁。這導(dǎo)致Microsoft調(diào)查了公司為何不修補其系統(tǒng)的原因。

微軟網(wǎng)絡(luò)安全解決方案事業(yè)部首席網(wǎng)絡(luò)安全架構(gòu)師Mark Simos說： “這次學(xué)習(xí)之旅的關(guān)鍵部分是坐下來并直接聽取客戶的挑戰(zhàn)。”

“ Microsoft親自拜訪了許多客戶(我親自加入了其中的幾個客戶)，以分享我們學(xué)到的知識，并進行了一些坦率和公開的討論，以了解為什么組織確實沒有應(yīng)用安全補丁。”微軟高管說。

公司采取不同的修補方式

這些會議表明，組織使用不同的修補方法，結(jié)果導(dǎo)致了應(yīng)用安全更新的延遲。

在這些會議中調(diào)用的主要原因之一是公司沒有適當?shù)难a丁程序測試程序，而且許多公司都在推遲補丁程序，以確保錯誤或崩潰不會導(dǎo)致生產(chǎn)系統(tǒng)停機。

Simos說，在某些組織中，測試補丁的過程“僅是在在線論壇上詢問是否有人對補丁有任何問題”。

此外，一些公司還表示，他們也不知道應(yīng)用補丁的速度，只能讓他們根據(jù)自己的標準來解釋和評估安全更新的嚴重性。

需要NIST批準的指導(dǎo)

結(jié)果，Microsoft得出結(jié)論，為了規(guī)范企業(yè)環(huán)境中的修補過程，需要一個行業(yè)范圍的標準。

作為聯(lián)合項目的一部分，Microsoft和NIST表示，他們計劃研究“如何使用商業(yè)和開源工具來協(xié)助修補一般IT系統(tǒng)的最具挑戰(zhàn)性的方面，包括系統(tǒng)特性和優(yōu)先級劃分，補丁測試和補丁。實施跟蹤和驗證。”

NIST說：“這些工具將附有關(guān)于在整個補丁生命周期中建立政策和流程的可操作的規(guī)范性指導(dǎo)。”

本指南何時定稿沒有時間表。但是，很少有NIST指南能得到主要行業(yè)參與者的大力支持，因此，預(yù)計進展很快。