Microsoft и NIST объединили усилия для создания руководства для управления патчами
Microsoft и Национальный институт стандартов и технологий США (US National Institute of Standards and Technology — NIST) объединили свои усилия для создания руководства по применению исправлений безопасности в корпоративном секторе.
Результатом этой работы станет практическое руководство NIST Special Publication 1800, которое системные администраторы могут использовать для организации или оптимизации внутренних процедур для управления исправлениями (патчами) в компании.
Ожидается, что руководство окажет огромное влияние поскольку оно поддерживается NIST, ответственной за разработку отраслевых руководящих принципов. Работа над этим руководством началась в 2018 году в рамках проекта под названием «Гигиена кибербезопасности: Патчменеджмент в организации» .
В Microsoft сообщили , что многие из организаций, которые пострадали от зловредов типа WannaCry, NotPetya и Bad Rabbit, не смогли вовремя установить необходимые исправления, это заставило Microsoft выяснить, почему компании не вносили вовремя изменения свои системы.
В ходе диалогов с клиентами стало ясно, что в организациях применялись разные подходы к управлению патчами в результате чего возникали задержки в применении обновлений безопасности. Одной из основных причин являлось то, что в компаниях не было процедуры тестирования исправлений и многие из них просто откладывали применение выпущенных исправлений для того, чтобы убедиться, что ошибки или сбои не вызовут простои в производственных системах.
В некоторых организациях процесс тестирования патчей «состоял исключительно в том, чтобы спросить, есть ли у кого-либо еще проблемы с патчем на онлайн-форуме». Кроме того, часть компаний заявили, что они не знают насколько быстро они должны применять исправления, поэтому они по своему интерпретировали и оценивали серьезность обновлений безопасности на основе своих собственных критериев.
В результате в Microsoft пришли к выводу, что для регулирования процесса управления исправлениями в корпоративных средах необходим общеотраслевой стандарт.
В рамках совместного проекта Microsoft и NIST заявили, что планируют посмотреть, как можно использовать проприетарные и инструменты с открытым исходным кодом, чтобы помочь с наиболее сложными аспектами исправления ИТ-систем, включая типизацию систем, расстановку приоритетов, тестирование исправлений, их применение и проверку реализации.
Организации получат действенные инструкции для разработки политик и процессов управления жизненным циклом исправлений — сообщили в NIST.