2003年10月9日,微软首席执行官Steve Ballmer宣布,微软将每月发布一次安全补丁,以 “通过增加一定程度的可预测性和可管理性,减轻IT管理员的负担”。
20年过去了,微软仍保持每个月的第二个星期二发布其安全更新,偶尔会有紧急情况下的例外。许多其他公司,如甲骨文和Adobe,也遵循类似的规则。补丁星期二将风险管理变成了每月的固定更新,但和许多创新一样,它是从危机中建立起来的。2002年初,在世界经历了第一次网络末日“Code Red”和“Nimda”之后不久,微软决定改变其安全理念。这两种蠕虫病毒在几个小时内感染了数十万台机器,它们利用的是已经有补丁的漏洞。Christopher Budd说,“问题不在于我们没有建立补丁,而是在于人们安装补丁的速度不够快。”他从2000年到2010年在微软工作,现在是Sophos威胁研究的高级经理。当时,9.11事件给北美带来了巨大的创伤,微软内部对安全问题的关注也越来越多。2002年1月15日,Bill Gates 发出了他著名的可信计算备忘录,强调了保护用户及其系统的重要性。提高安全性的方法之一是改变补丁的交付方式。因此,微软不再一周内多次地不可预测地发布安全更新,而是开始将补丁堆积在一起定时发布,以便客户更容易跟进。Budd表示,起初,这个想法是作为一个“无声的试点项目”来实施的。但由于它的反响不错,补丁星期二很快就被正式发布了。第一份官方补丁星期二于2003年10月14日发布,包括7个漏洞,其中5个被视为关键漏洞。帮助构建补丁星期二的Budd说,“星期二是我们认为可以持续提供这些服务的一周中最早的一天。”
多年来,微软不断发展和完善其安全补丁的方法,以适应不断变化的威胁。继Code Red之后的著名蠕虫病毒,如Sasser和Blaster,帮助补丁星期二成长并最终成熟。Budd和他在微软安全响应中心的同事在可信计算备忘录发布后“突然变得异常重要”,他们试图在补丁部署和检测方面做出改进。一项关键的成就是开发工具,使管理员能够进行扫描并识别需要安全更新的系统——这个想法虽然简单,但被证明是一个游戏规则的改变。发布补丁的整个过程是个巨大的工程,特别是在补丁星期二之前的星期一,所有的东西都要检查。安全专家为此投入了大量时间,他们错过了生日派对,甚至由于没时间回家,在微软总部洗澡。这就是为什么在发布公告时,扬声器里响起了音乐。“当公告发布时,对我们来说是一件大事。” Dustin Childs 说。他在 2008 年至 2014 年期间在微软工作,现在是趋势科技ZDI漏洞悬赏计划的威胁意识负责人。Childs 表示,“音乐通常是由发布经理为公告挑选的。我记得有个月是克林贡音乐,但通常是摇滚乐。”然而,有时候一些补丁会造成意想不到的后果,从而造成混乱。例如2010年2月公告发布之后,数千名顾客几乎立即报告了蓝屏。当雷德蒙德的安全专家听说这个问题时,他们试图复制它,但没有成功。由于缺乏更好的解决方案,微软购买了一位用户的电脑,该用户致电达拉斯附近的支持中心报告了这一问题。Childs说,“我们一拿到那台电脑,就发现里面安装了一个rootkit。”。Alureon rootkit对Windows内核二进制文件进行了修改,导致系统不稳定。于是微软重新发布了补丁并解决了问题。Childs说,“然而,有意思的是,制作rootkit的人比我们更快地发现了它,他们在(发布后)48小时内更新了rootkit以避免补丁。”这并不是补丁星期二历史上唯一的离奇事件。例如,Childs记得,一个IE浏览器补丁导致韩国的网上银行崩溃,而一个Windows媒体播放器补丁导致整个国家崩溃了两次。“出于某种原因,在丹麦的系统中,它出现了蓝屏,”他说,“所以我们不得不召回那个补丁,修复它并重新发布。然后,就在下个月,同样的事情再次发生。我不知道丹麦的系统有什么特别之处。”即使在今天,软件公司(不仅仅是微软)发布的一些补丁也会引发问题,这可能会让安装这些补丁的人感到沮丧。Childs认为,如果供应商提高了这些修复的可靠性,用户可能更愿意立即应用,而不是等待数周或数月,看看其他人是否遇到问题。毕竟采取等待的方法可能有风险,因为这会使他们的系统容易受到已知漏洞的攻击。这就是为什么Childs建议用户尽快应用补丁的原因。并且他还呼吁用户关注质量差的补丁。“让我们追究供应商的责任,”Childs说,“让我们确保他们能生产出好的补丁。”微软副首席信息官Aanchal Gupta表示,微软正在对补丁进行“广泛的测试”。“在我们向用户发布任何补丁之前,它不仅在微软内部经过严格的测试。我们也有一组外部公司的测试人员,他们在这些补丁公开之前就拿到补丁,”她说,“他们可以在自己的环境中进行测试,并向我们报告他们的环境中是否存在可能导致补丁无法运行的独特因素。”
从早期的克林贡音乐从扬声器中响起以来,补丁星期二已经走过了漫长的道路。随着时间的推移,发布逐渐变得自动化,对一些用户来说变得不可见。
在过去十年中,微软做了几项改变以简化流程。例如,在2010年中期,它宣布了累计更新。例如,一个错过了五个补丁的用户只需要应用最后一个补丁,因为其他的补丁都包括在其中。微软还推出了机器可读的《安全更新指南》,这意味着大型企业或组织可以依赖自动化。
但并不是每一个变化都会受到欢迎。当微软决定取消安全公告,用安全更新指南取代它们时,用户抱怨说他们收到的信息不够直观。2020年秋天也发生了类似的事情,当时微软删除了包含漏洞详细信息的执行摘要。许多业内人士认为,他们没有收到足够的信息,这使他们的决策过程变得困难。
安全研究员Claire Tills说,这 “可能是微软做出的最具破坏性的 ”决定,“我知道一些defender也确实对此感到困扰。”
在2022年,微软在使补丁星期二成为常规星期二方面又迈出了一步,当时它宣布了Autopatch,承诺为拥有Windows Enterprise E3和E5许可证的客户简化处理漏洞的过程。此举使一些组织怀疑我们所知的 "补丁星期二 "是否会消失--但微软否认了这一传言。
围绕补丁星期二的宣传越来越少,补丁星期二漏洞的数量可能已经达到顶峰。在2020年,一个“特别积极的一年”,Tills统计了大约1200个漏洞,而在2022年,她只看到了663个。
Tills表示,“就漏洞的类型而言,基本一直是权限提升和远程代码执行。每隔一段时间,会突然出现信息披露和安全功能绕过的漏洞高峰。”
但是,尽管这些功能旨在简化应用补丁的过程,但对于那些负担不起专门的技术团队的小企业来说,这项任务仍然是艰巨的。这就是为什么Gupta建议这些用户转移到云端的原因。
“这样你就可以纯粹地专注于你的业务,你不必担心打补丁和管理系统的问题,“她说,“我还鼓励人们不要禁用默认的升级。”
但是,随着我们向自动化流程的过渡,专门用一天时间进行更新是否已经过时了呢?
如果没有补丁星期二,很想象网络安全世界会变成什么样子。二十年来,补丁星期二一直是这个行业不可或缺的一部分。然而,随着威胁变得更加复杂,地缘政治变得更加动荡,传统的补丁星期二模式可能不再足以保证系统的安全。
在复杂环境中运作的组织,如在那些竞争激烈的领域或设在乌克兰等热点地区,在补丁管理方面不能犯错。网络安全初创公司UnderDefense的创始人兼首席执行官Nazar Tymoshyk说,威胁者往往“针对技术漏洞而不是特定的个人或组织”,该公司在与俄罗斯的持续战争中保护了多个组织。
他说,“利用技术堆栈中未修补的漏洞或过时的网络资源仍然占(俄罗斯)网络情报行动成功的50%。”
Tymoshyk认为,补丁星期二仍然是必要的。但是企业应该在此基础上,根据其基础设施的规模和复杂性或其使用的软件和系统类型,采用额外的补丁程序。
Tenable公司的高级研究工程师Satnam Narang也赞成保持补丁星期二的活力,因为这种例行程序可以帮助企业培养一种以网络安全为中心的文化。
“每周都会有人来捡我们街上的垃圾,我们知道这会在每周特定的日子发生,“他说,“补丁星期二之所以是一个宝贵的资源,是因为它会在每月一个特定的日子发生,所以它允许企业挤出必要的时间来修补这些漏洞。”
Narang表示,“一个混乱的补丁系统可能无法发挥作用,因为安全团队已经不堪重负。”
安全研究员们还补充道,“在某些情况下,持续的补丁周期和自动更新在企业层面可能不总是可行的”。Nucleus的解决方案架构师David Farquhar表示,“在出现问题时,大型企业需要能够将系统恢复到已知状态,这需要进行规划。”
补丁星期二是许多组织的常规工作中的关键一环,但是,它仍是不可预测的。过去几年的情况表明,它会在没有事先警告的情况下改变。“尽管补丁星期二给人的感觉是如此基础和牢固,但它可以在一瞬间发生变化,”Tills说,“补丁星期二的结束对很多企业来说可能是灾难性的。”
不过,就目前而言,微软似乎将保持该计划的运行。Gupta说,“我不会担心补丁星期二很快就会消失。”
原文链接🔗
https://www.darkreading.com/edge-articles/how-patch-tuesday-keeps-the-beat-after-20-years
来源:DARKReading
还没有评论,来说两句吧...