Microsoft和NIST合作創(chuàng)建企業(yè)修補(bǔ)指南

微軟與美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)攜手創(chuàng)建了NIST指南，以在企業(yè)部門中應(yīng)用安全補(bǔ)丁。這兩個(gè)組織現(xiàn)在正在邀請(qǐng)其他感興趣的各方為該新指南提供意見。該邀請(qǐng)對(duì)供應(yīng)商，公司或單身人士均有效。

這項(xiàng)工作的結(jié)果將是NIST特別出版物1800實(shí)踐指南，系統(tǒng)管理員可以按照該指南來組織或優(yōu)化公司的內(nèi)部修補(bǔ)程序。

該指南在NIST(美國政府負(fù)責(zé)制定行業(yè)指南的組織)的支持下，有望產(chǎn)生巨大的影響。

扎根于2017年勒索軟件爆發(fā)

微軟與NIST的這種合作伙伴關(guān)系的工作始于2018年，是名為“關(guān)鍵網(wǎng)絡(luò)安全衛(wèi)生：修補(bǔ)企業(yè)項(xiàng)目”的項(xiàng)目的一部分[ PDF，NIST主頁 ]。

微軟在推動(dòng)其發(fā)展方面發(fā)揮了關(guān)鍵作用。該公司表示，它開始研究在2017年發(fā)生三起勒索軟件(即WannaCry，NotPetya和Bad Rabbit)后，公司如何修補(bǔ)其計(jì)算機(jī)機(jī)群。

微軟表示，即使有安全更新可用，許多受到打擊的組織也未能安裝補(bǔ)丁。這導(dǎo)致Microsoft調(diào)查了公司為何不修補(bǔ)其系統(tǒng)的原因。

微軟網(wǎng)絡(luò)安全解決方案事業(yè)部首席網(wǎng)絡(luò)安全架構(gòu)師Mark Simos說： “這次學(xué)習(xí)之旅的關(guān)鍵部分是坐下來并直接聽取客戶的挑戰(zhàn)。”

“ Microsoft親自拜訪了許多客戶(我親自加入了其中的幾個(gè)客戶)，以分享我們學(xué)到的知識(shí)，并進(jìn)行了一些坦率和公開的討論，以了解為什么組織確實(shí)沒有應(yīng)用安全補(bǔ)丁。”微軟高管說。

公司采取不同的修補(bǔ)方式

這些會(huì)議表明，組織使用不同的修補(bǔ)方法，結(jié)果導(dǎo)致了應(yīng)用安全更新的延遲。

在這些會(huì)議中調(diào)用的主要原因之一是公司沒有適當(dāng)?shù)难a(bǔ)丁程序測(cè)試程序，而且許多公司都在推遲補(bǔ)丁程序，以確保錯(cuò)誤或崩潰不會(huì)導(dǎo)致生產(chǎn)系統(tǒng)停機(jī)。

Simos說，在某些組織中，測(cè)試補(bǔ)丁的過程“僅是在在線論壇上詢問是否有人對(duì)補(bǔ)丁有任何問題”。

此外，一些公司還表示，他們也不知道應(yīng)用補(bǔ)丁的速度，只能讓他們根據(jù)自己的標(biāo)準(zhǔn)來解釋和評(píng)估安全更新的嚴(yán)重性。

需要NIST批準(zhǔn)的指導(dǎo)

結(jié)果，Microsoft得出結(jié)論，為了規(guī)范企業(yè)環(huán)境中的修補(bǔ)過程，需要一個(gè)行業(yè)范圍的標(biāo)準(zhǔn)。

作為聯(lián)合項(xiàng)目的一部分，Microsoft和NIST表示，他們計(jì)劃研究“如何使用商業(yè)和開源工具來協(xié)助修補(bǔ)一般IT系統(tǒng)的最具挑戰(zhàn)性的方面，包括系統(tǒng)特性和優(yōu)先級(jí)劃分，補(bǔ)丁測(cè)試和補(bǔ)丁。實(shí)施跟蹤和驗(yàn)證。”

NIST說：“這些工具將附有關(guān)于在整個(gè)補(bǔ)丁生命周期中建立政策和流程的可操作的規(guī)范性指導(dǎo)。”

本指南何時(shí)定稿沒有時(shí)間表。但是，很少有NIST指南能得到主要行業(yè)參與者的大力支持，因此，預(yù)計(jì)進(jìn)展很快。