Microsoft和NIST合作创建企业修补指南

微软与美国国家标准技术研究院(NIST)携手创建了NIST指南，以在企业部门中应用安全补丁。这两个组织现在正在邀请其他感兴趣的各方为该新指南提供意见。该邀请对供应商，公司或单身人士均有效。

这项工作的结果将是NIST特别出版物1800实践指南，系统管理员可以按照该指南来组织或优化公司的内部修补程序。

该指南在NIST(美国政府负责制定行业指南的组织)的支持下，有望产生巨大的影响。

扎根于2017年勒索软件爆发

微软与NIST的这种合作伙伴关系的工作始于2018年，是名为“关键网络安全卫生：修补企业项目”的项目的一部分[ PDF，NIST主页 ]。

微软在推动其发展方面发挥了关键作用。该公司表示，它开始研究在2017年发生三起勒索软件(即WannaCry，NotPetya和Bad Rabbit)后，公司如何修补其计算机机群。

微软表示，即使有安全更新可用，许多受到打击的组织也未能安装补丁。这导致Microsoft调查了公司为何不修补其系统的原因。

微软网络安全解决方案事业部首席网络安全架构师Mark Simos说： “这次学习之旅的关键部分是坐下来并直接听取客户的挑战。”

“ Microsoft亲自拜访了许多客户(我亲自加入了其中的几个客户)，以分享我们学到的知识，并进行了一些坦率和公开的讨论，以了解为什么组织确实没有应用安全补丁。”微软高管说。

公司采取不同的修补方式

这些会议表明，组织使用不同的修补方法，结果导致了应用安全更新的延迟。

在这些会议中调用的主要原因之一是公司没有适当的补丁程序测试程序，而且许多公司都在推迟补丁程序，以确保错误或崩溃不会导致生产系统停机。

Simos说，在某些组织中，测试补丁的过程“仅是在在线论坛上询问是否有人对补丁有任何问题”。

此外，一些公司还表示，他们也不知道应用补丁的速度，只能让他们根据自己的标准来解释和评估安全更新的严重性。

需要NIST批准的指导

结果，Microsoft得出结论，为了规范企业环境中的修补过程，需要一个行业范围的标准。

作为联合项目的一部分，Microsoft和NIST表示，他们计划研究“如何使用商业和开源工具来协助修补一般IT系统的最具挑战性的方面，包括系统特性和优先级划分，补丁测试和补丁。实施跟踪和验证。”

NIST说：“这些工具将附有关于在整个补丁生命周期中建立政策和流程的可操作的规范性指导。”

本指南何时定稿没有时间表。但是，很少有NIST指南能得到主要行业参与者的大力支持，因此，预计进展很快。