IT专业人员表示,微软在2003年10月开始实施的每月发布一次补丁的周期仍是解决微软安全漏洞的最佳方法。然而,随着零日安全漏洞的增多,IT专业人员认为,微软应该愿意更经常地打破发布补丁的周期。
在SearchSecurity.com网站的进行的采访中,大多数IT专业人员支持微软当前实行的在每个月的第二个星期二发布补丁的制度,因为他们可以更方便地制定有关这些补丁的计划。
但是,像WMF(Windows Meta File)和createTextRange这类的零日安全威胁在最近几个月频繁出现,使IT部门容易受到各种攻击。WMF安全漏洞是在补丁周期之外修复的,距离1月份的补丁星期二还差5天时间,而createTextRange安全漏洞是在4月份的正常的补丁周期内修复的。
由于利用安全漏洞的代码往往在安全漏洞披露几个小时之后就出现,佛罗里达州佩里镇的泰勒县学区的IT经理John Hornbuckle就支持在周期之外发布补丁。他说,零日安全漏洞令我担心,尽管我很幸运,没有受到这种安全漏洞影响。我们的运气不可能永远都这样好。因此,我很高兴地看到微软加快速度发布这种安全漏洞的补丁。
速度与测试
马萨诸塞州的IT管理公司MIS Alliance的技术经营经理Brad Dinerman说,IT部门需要一个他们能够做计划的时间表。但是,一旦在周期之外发布了补丁,管理员最好是赶快使用这个补丁,因为攻击者正在试图通过公开的漏洞攻击他们的网络。
尽管如此,安全专业人员表示,微软也不应该使用没有经过测试的补丁对安全漏洞做出反应。Hornbuckle说,虽然他愿意看到经常在周期之外发布安全补丁,但是,他不愿意用牺牲可靠性来交换速度。
Hornbuckle说,在微软内部进行测试是必须的。遗憾的是测试的需要使零日补丁很难满足零日威胁的需求。
IT专业人员必须要自己帮助自己
科罗拉多州的一位入侵测试员Jeremy Martin说,无论微软制作一个补丁需要多长时间,IT专业人员都可以做更多的工作来缓解零日威胁。Martin的日常工作就是设法突破大企业的网络,以帮助企业找到和修复安全漏洞。
他说,我曾到过许多企业。这些企业都等到发布补丁,而不是采取缓解安全漏洞的措施。IT部门应该做的一件事情就是教育雇员,使雇员们知道在发生蠕虫攻击的时候应该采取什么步骤。
这可能意味着IT部门要发出一封电子邮件,告诉雇员某些地方有危险,告诫雇员远离不可靠的网站,当心钓鱼攻击电子邮件和遵守统一的公司用户政策。
Martin说,虽然在没有首先听到微软的消息之前IT部门也有很多事情要做,但是,微软应该在安全公告中包含更多的信息以便帮助网络管理员做一些事情。
他说,如果微软在安全公告中包含有关安全漏洞的更详细的信息,这对IT专业人员是有帮助的。向IT专业人员提供更多的信息,IT专业人员就可以在防火墙中针对具体的漏洞更有效地封锁这个威胁。
沟通已经得到了改善
在说到微软可能更快地修复零日安全漏洞并且在安全公告中提供了更详细的信息的同时,安全专业人员承认,微软已经明显地改善了它的沟通方式。这种沟通方式在最近的零日威胁事件中被证明是有帮助的。
美国蒙大拿州的独立安全研究人员Matthew Murphy说,我确实喜欢微软处理WMF威胁的方式。微软注意到了可以利用的安全漏洞,然后很快采取了行动。微软很快就开发和测试了补丁,并且很快发布了这个补丁。
微软表示,补丁在测试完成之后立即发出。Murphy说,微软一直保持对这个漏洞的消息沟通。因此,当微软提前5天发布这个补丁的时候,并没有产生破环性影响。把这种雄心勃勃的计划与透明度结合起来是一个很好的发展。人们低估了沟通能够在多大程度上缓解这种形势。
微软还提供了广泛的沟通方式,包括在其TechNet网站上发表安全公告和微软安全反应中心发表网络博客。
Murphy说,博客一直是网络社区非常受欢迎的地方。我们能从那里得到更快和更新的信息。这表明,微软知道它需要更有效地和更快地提供信息。
预计没有大变化
微软安全技术部门通信经理Debby Fry Wilson说,虽然零日补丁也许不会像某些人希望的那样快地发布,但是,微软当前采取的方法是大多数用户反馈意见的结果。因此,人们可以预料,补丁周期在可以预见的未来不会发生变化。然而,她补充说,微软的目标总是要尽可能快地发布零日补丁,尽管这意味着偏离了标准的发布周期。
Fry Wilson说,如果我们有达到质量标准的补丁并且用户正在面临严重的危险,微软总是要考虑在周期之外发布补丁的,就像我们以前曾经做过的那样,如解决WMF攻击的问题。
她还许诺说,没有经过适当的测试,微软是不会发布补丁的,无论零日攻击有多么严重。Fry Wilson说,在攻击中比没有最新的补丁还要糟糕的是有一个破补丁。
微软的用户过去曾遭受过破补丁之苦。就在上个月,微软被迫重新发布了在4月11日第一次发布的IE补丁。Fry Wilson说,微软要把这种问题减少到最低限度。
Fry Wilson说,我们必须要保证每一个安全补丁都是能够修复潜在的安全漏洞的高质量的补丁,同时,我们还要有效地使用这些补丁。