美国机构强调安全团队与其同事们对修补价值的“划分”
美国国家标准与技术研究院(NIST)在近十年内首次检测其企业补丁管理指导。
而以前,2013年迭代专注于帮助组织为了部署补丁管理技术,新版中心正在开发补丁管理的战略。
通过NIST的国家网络安全卓越中心(NCCOE)组合在一起,NIST特刊(SP)800-40修订版4“基于假设[...]组织将从重新思考其补丁管理计划中获益,而不是其补丁管理技术”。
尽管如此,NIST还发布了一个伴随着商业工具如何支持的伴侣出版物企业实施其修订的指导。
'简化和操作'
新的战略侧重指导“讨论了影响企业补丁管理的常见因素,并建议创建企业策略,以简化和运作修补,同时提高风险减少”。
根据NIST,在这样做的情况下,指导就弥合了弥合了“分开了业务/使命所有者和安全/技术管理的安全/技术管理”。
伴侣出版物,nist sp 1800-31,从NCCOE和一些网络安全技术提供的一些合作中出现。
以所喜欢的贡献为特色思科,IBM,和微软此外,它概述了商业技术如何部署到“实施库存和修补功能”,需要处理例程和紧急修补局势“,以及”实施临时缓解,隔离方法或修补其他替代方案“。
该指导还建议“保护补丁管理系统本身的安全实践”。
Equifax课程
NIST将安全漏洞修补固件,操作系统或应用程序作为必要的“开展业务成本”。
当忽视补丁管理导致严重妥协时,这些成本无疑是由财务和声誉成本的陪伴员才能使系统停机时间,数据违规行为和其他不利结果。
没有组织比Equifax更敏锐地意识到这一事实最终确定了一个解决方案对于2017年数据泄露的受害者,已经花费了悲伤的信用报告代理年份,到目前为止数百万美元。
暴露了超过1.63亿人的个人信息的违约,从Apache Struts漏洞中出现,在它剥削前两个月已经提供了一个补丁网络犯罪分子。
更快的攻击者
无论是效率低下,有关系统可用性的担忧还是其他原因,许多企业都明显慢慢地对补丁系统缓慢 - 即使攻击者继续在利用时变得更快漏洞。
例如,网络安全公司最近的一项研究发现,同比,年度,平均剥削漏洞的平均时间(已知漏洞)从42到12天暴跌。
与领先的技术供应商展示重大改进在推出补丁时,NIST将希望更新其补丁管理指导将鼓励企业变得更加灵活。
