“对于一点涉及网络论坛的企业 补丁程序测试过程需要NIST指南”

微软与美国国家标准和技术研究所( nist )合作制定了nist指导方针，并在公司部门应用了安全补丁。

这两个组织目前邀请其他有兴趣的各方就这一新指导方针提供意见。 此邀请对供应商、企业和单身人士有效。

该业务的结果将成为nist特别出版物1800实践指南，系统管理员可以根据该指南组织或优化企业的内部补丁。

该指导方针有望在nist (美国政府负责制定领域指导方针的组织)的支持下产生巨大的影响。

扎根于年代的恐吓软件的爆炸

微软和nist这种合作关系的开始是重要的互联网安全卫生:是修复公司项目的一部分[ pdf，nist主页]。

微软在推动快速发展方面发挥了重要作用。 该公司表示，在wannacry、notpetya和bad rabbit这三个勒索软件发生后，公司开始研究如何修复电脑机群。

微软表示，尽管有安全更新可用，但多个受打击的组织无法安装修补程序。 结果，微软调查了企业为什么不对系统打补丁。

微软internet security processing事业部首席互联网安全架构师mark simos表示:“此次学习之旅的重要部分是坐下来直接倾听顾客的挑战。”

为了分享我学到的东西，微软亲自拜访了多位顾客。 我们还进行了坦率和公开的讨论，以了解为什么组织没有安装安全补丁。 微软高管说。

企业采取不同的修补方法

这些会议表明，组织采用了不同的修补方法，结果导致了安全更新的应用延迟。

在这些会议上调用的一个主要原因是，企业没有适当的修补程序测试程序，以及许多企业推迟修补程序，以防止错误和崩溃导致生产系统停机。

根据simos的说法，在一些组织中，测试修补程序的过程只是在在线论坛上询问修补程序是否有问题。

一些公司还表示，他们不知道修补的速度，只能根据自己的标准说明和判断安全更新的重要性。

需要nist批准的指导

结果是，微软得出了一个结论，需要一个全域标准来规范公司环境中的修补程序。

作为联合项目的一部分，微软和nist将如何采用业务工具和开源工具来帮助对常见it系统最困难的方面进行修补，包括系统特征和优先级划分、修补测试和修补 实施跟踪和验证。

据nist称，这些工具提供了可操作的规范指导，以便在修补程序的整个生命周期内建立策略和流程。

这个指导方针什么时候制定，没有时间表。 但是，nist指导方针很少得到主要领域参加者的大力支持。 因此，预计进展迅速。

本文：《“对于一点涉及网络论坛的企业 补丁程序测试过程需要NIST指南”》