计划比技术重要:NIST发布新版企业补丁管理指南

美国国家标准与技术研究院(NIST)近十年来首次彻底更新了其企业补丁管理指南。NIST还发布了一份配套出版物,展示了如何使用商业工具支持企业实施其修订后的指南。

上一个NIST补丁管理指南版本于2013年发布,侧重于帮助组织部署补丁管理技术,而新版本则侧重于开发补丁管理策略。

NIST的国家网络安全卓越中心(NCCoE)认为新版本最大的变化是:“重点是如何从补丁管理计划中受益,而不是补丁管理技术”。

新的以战略为重点的指南“讨论了影响企业补丁管理的常见因素,并建议制定企业战略以简化和实施补丁,同时还可以降低风险”。

据NIST称,在此过程中,该指南旨在弥合“业务/任务所有者与安全/技术管理人员之间关于漏洞修补价值的分歧”。

据悉,新版本指南的配套出版物NIST SP 1800-31由NCCoE与一些最大的网络安全技术提供商合作完成。例如指南基于思科、IBM和微软等公司的贡献,概述了如何部署商业技术以“实现组织处理常规和紧急修补情况所需的库存和修补功能”,以及“实施临时缓解、隔离方法,或修补的其他替代方法”。

该指南还推荐了“保护补丁管理系统本身的安全实践”。

NIST还将固件、操作系统或应用程序中的安全漏洞修补视为必要的“业务成本”。

当忽视补丁管理导致严重损失时,人们就会发现与系统停机、数据泄露和其他不利结果所带来的财务和声誉损失相比,补丁(管理)的成本微不足道。

企业补丁管理面临的最大威胁是修复速度与攻击速度的差距越拉越大。由于效率低下、对系统可用性的担忧或者其他各种原因,许多企业在修补系统方面显然仍然很慢,而攻击者在利用漏洞方面的速度越来越快。

根据网络安全公司Rapid7最近的研究,2021年攻击者利用已知漏洞的平均时间从42天骤降至12天。

指南下载链接:

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-40r4.pdf

前一篇人工智能安全的“命门”:数据安全
后一篇周刊 | 网安大事回顾(2022.4.18—2022.4.24)