Microsoft werkt samen met het Amerikaanse National Institute of Standards and Technology (NIST) aan een gestandaardiseerde gids voor het toepassen van security-patches in zakelijke omgevingen.
NIST is de Amerikaanse overheidsorganisatie die verantwoordelijk is voor het opstellen van richtlijnen voor de hele industrie. De organisatie werkt momenteel aan een handleiding voor het uitvoeren van patches in zakelijke omgevingen, die systeembeheerders moet helpen om hun interne procedures te optimaliseren.
Microsoft zette vanaf het begin mee zijn schouders onder het project, na de uitbraak van drie grote ransomwarecampagnes (WannaCry, NotPetya en Bad Rabbit) in 2017. Het bedrijf besloot nader te onderzoeken hoe organisaties hun pc’s patchen en kwam tot de conclusie dat velen er simpelweg niet in slagen om security-updates tijdig te installeren, ook al zijn ze beschikbaar.
Geen degelijke procedure
Door samen te zitten met klanten, leerde Microsoft dat het bedrijven vaak ontbreekt aan een degelijke procedure voor het testen van patches. Updates worden daarom uitgesteld, om er zeker van te zijn dat de patches niets zouden breken en zorgen voor downtime.
In sommige gevallen bestaat de testprocedure van organisaties “uitsluitend uit het vragen op een online forum of iemand ander problemen heeft met de patch”, zegt Mark Simos, Lead Cybersecurity Architect bij Microsfts Cybersecurity Solutions Group, in een blogpost.
Andere bedrijven gaven aan dat ze niet goed konden inschatten hoe snel ze patches moeten toepassen.
Universele patchgids
Microsoft stelde vast dat een universele patchgids voor bedrijven nodig is, als leidraad om het updateproces binnen bedrijven te reguleren. Samen met NIST onderzoekt het “hoe commerciële en opensource-tools kunnen worden gebruikt om te helpen bij de meest uitdagende aspecten van het patchen van algemene IT-systemen.”
Denk daarbij aan zaken zoals systeemkarakterisering en -prioritering, het testen van patches, en tracking en verificatie van patch-implementaties. De tools worden aangevuld met praktische richtlijnen voor het opstellen van beleid en processen voor de hele patching-levenscyclus.
Het is nog niet bekend wanneer de gids klaar zal zijn. Microsoft en NIST nodigen momenteel geïnteresseerde partijen uit om input te leveren voor het document.