Elke werkdag behandelt Computable een technisch onderwerp waarover lezers kunnen discussiëren. Vandaag gaat het over het stopzetten door Microsoft van de vooraankondiging van Patch Tuesday. Is dit een probleem of juist niet? Wij zijn benieuwd naar jouw mening.
Microsoft zet een punt achter het openbaar en vooraf aankondigen van wát het zoal gaat patchen in zijn maandelijkse patchrondes. Microsoft heeft jaren terug al gesteld dat malwaremakers patches en informatie daarover benutten om weet te krijgen van kwetsbaarheden in software. Die aanvallers maken zo hun malafide software en kunnen hierdoor cybercriminele werk (beter) uitvoeren, zo luidt de redenering. Patch Tuesday (tegenwoordig Update Tuesday genoemd door Microsoft) komt voortaan dus zonder gedetailleerde waarschuwing vooraf. Dit is juist wel of juist geen probleem, want…
Een mogelijke keerzijde van deze nieuwe aanpak is dat het langer duurt eer de patches worden uitgerold.
Een vooraankondiging stelt een organisatie in staat vooraf te kijken of betreffende patch van toepassing is op hun omgeving, en om een impact analyse en/of testplan op te zetten.
Deze cyclus kun je nu pas in gang zetten als de patch geleverd wordt, waarmee de uitrol dus langer kan duren
(tenzij je klakkeloos alle patches installeert natuurlijk, maar ook dat is niet altijd even handig, zo is gebleken)
Is hier al uitvoerig aan de orde geweest.
https://www.computable.nl/artikel/nieuws/security/5215444/1276896/microsoft-gooit-opzet-patch-tuesday-om.html
Bij het inplannen van het patchen is dit lastiger, maar niet onoverkomelijk. Veel organisatie hebben een patchcyclus en plannen het testen en uitrollen van patches sowieso maandelijks in, gebaseerd op nu update tuesday.
Volgens mij zit de markt meer te wachten op het moment dat update tuesday niet meer nodig zal zijn en de veiligheid intergraal bij het ontwikkelen van de software wordt ingebouwd. Is windows 10 zo’n systeem? Ik verwacht van niet.