“对于一点涉及网络论坛的企业 补丁程序测试过程需要NIST指南”
微软与美国国家标准和技术研究所( nist )合作制定了nist指导方针,并在公司部门应用了安全补丁。
这两个组织目前邀请其他有兴趣的各方就这一新指导方针提供意见。 此邀请对供应商、企业和单身人士有效。
该业务的结果将成为nist特别出版物1800实践指南,系统管理员可以根据该指南组织或优化企业的内部补丁。
该指导方针有望在nist (美国政府负责制定领域指导方针的组织)的支持下产生巨大的影响。
扎根于年代的恐吓软件的爆炸
微软和nist这种合作关系的开始是重要的互联网安全卫生:是修复公司项目的一部分[ pdf,nist主页]。
微软在推动快速发展方面发挥了重要作用。 该公司表示,在wannacry、notpetya和bad rabbit这三个勒索软件发生后,公司开始研究如何修复电脑机群。
微软表示,尽管有安全更新可用,但多个受打击的组织无法安装修补程序。 结果,微软调查了企业为什么不对系统打补丁。
微软internet security processing事业部首席互联网安全架构师mark simos表示:“此次学习之旅的重要部分是坐下来直接倾听顾客的挑战。”
为了分享我学到的东西,微软亲自拜访了多位顾客。 我们还进行了坦率和公开的讨论,以了解为什么组织没有安装安全补丁。 微软高管说。
企业采取不同的修补方法
这些会议表明,组织采用了不同的修补方法,结果导致了安全更新的应用延迟。
在这些会议上调用的一个主要原因是,企业没有适当的修补程序测试程序,以及许多企业推迟修补程序,以防止错误和崩溃导致生产系统停机。
根据simos的说法,在一些组织中,测试修补程序的过程只是在在线论坛上询问修补程序是否有问题。
一些公司还表示,他们不知道修补的速度,只能根据自己的标准说明和判断安全更新的重要性。
需要nist批准的指导
结果是,微软得出了一个结论,需要一个全域标准来规范公司环境中的修补程序。
作为联合项目的一部分,微软和nist将如何采用业务工具和开源工具来帮助对常见it系统最困难的方面进行修补,包括系统特征和优先级划分、修补测试和修补 实施跟踪和验证。
据nist称,这些工具提供了可操作的规范指导,以便在修补程序的整个生命周期内建立策略和流程。
这个指导方针什么时候制定,没有时间表。 但是,nist指导方针很少得到主要领域参加者的大力支持。 因此,预计进展迅速。
免责声明:星空分类目录网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,星空网站目录平台不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站将予以删除。