همکاری NIST و مایکروسافت برای بهبود استراتژی وصلههای سازمانی

مؤسسه ملی استاندارد و فناوری (NIST) و مایکروسافت این هفته تلاش مشترکی را با هدف کمک به بنگاهها برای بهبود استراتژی وصلههای خود آغاز کردند.
هدف این طرح کمک به سازمانها برای برنامه ریزی، پیاده سازی و بهبود استراتژی مدیریت وصلههای سازمانی خود در زمینه حملات سایبری گسترده و ویرانگر مانند WannaCry و NotPetya است.
با توجه به اینکه آنها آسیبپذیریهای از قبل ثابت شده را هدف قرار دادهاند (مانند بهره برداریهای اترنال بلو (EternalBlue) و اترنال رومنس (EternalRomance) مرتبط با آژانس امنیت ملی)، وصله شدن به موقع میتواند باعث کاهش انتشار سریع در هر دو حمله شود.
مایکروسافت میگوید که مستقیماً به چالشهای کاربران در مورد وصلهها رسیدگی میشود، و بدین ترتیب مشخص میشود که برخی از مشتریان حتی قبل از استقرار، وصله را آزمایش نمیکنند، بلکه فقط در انجمنهای آنلاین سؤال میکنند که آیا کسی با آن وصله مشکلی داشته است یا خیر.
یكی از نتایجی كه این غول فناوری به آن رسیده است، این بود كه ایجاد راهنماییهای صنعت و معیارهای واضح تر در مدیریت وصله سازمانی از اهمیت بالایی برخوردار است، و از این رو با مركز ملی تعالی امنیت ملی NIST ایالات متحده (NCCoE) همکاریهایی را آغاز کرد.
مایکروسافت تصریح کرد: “این پروژه به زودی آغاز میشود. معماریها و فرآیندهای مرجع مدیریت وصله شرکت را ایجاد میکند، فروشندگان مربوطه دستورالعملهای اجرای آزمایشگاه NCCoE را ایجاد و اعتبارسنجی میکنند، و نتایج موجود در راهنمای عمل ویژه NIST 1800 را به همه ارایه میدهند.”
از جمله کسانی که تجربه خود را در زمینه مدیریت وصله به اشتراک گذاشتند عبارتند از: مرکز امنیت اینترنت (CIS)، امنیت سایبری وزارت امنیت داخلی ایالات متحده (DHS) و آژانس امنیت سایبری و امنیت زیرساخت (CISA) (سابقاً US-CERT / DHS NCCIC).
هم فروشندگانی که میتوانند در زمینه مدیریت وصله و سازمانها و هم افرادی که میتوانند اطلاعات مربوط به برنامههای موفق مدیریت شرکت را به اشتراک بگذارند، از پیوستن به این طرح استقبال میکنند.
مایکروسافت همچنین خاطرنشان میکند که با توجه به میزان وابستگی جامعه به فناوری، استفاده از این وصلهها، هم بخشی مهم برای محافظت از یک سیستم و هم یک مسئولیت اجتماعی است.
عدم آزمایش وصلهها قبل از استقرار میتواند عملکرد سیستم را مختل کرده و عملیات را دچار مشکل کند، و این در حالی است که تأخیر در استقرار وصله، پنجره بزرگتری از فرصتها را به روی مهاجمین میگشاید.
بدین منظور، یک راهنمای عملی در زمینه امنیت سایبری NIST به عنوان بخشی از این پروژه منتشر خواهد شد تا توضیحی از مراحل عملی مورد نیاز برای اجرای یک مرجع امنیت سایبری طراحی شده و به منظور پرداختن به چالش وصلههای سازمانی ارایه دهد.