本周在 Black Hat USA 大会上,趋势科技发表了一番有趣的评论:
过去几年,我们注意到一个令人担忧的趋势——补丁质量下降,且与补丁相关的沟通减少。这导致企业无法准确评估其系统面临的风险。此外,由于不合格的补丁会被重新发布并再次应用,企业也因此损失了金钱和资源。
这条评论是为了解释他们新的0/30/60/90补丁发布时间表而发表的。但这引出了一个非常棘手的问题。
假设系统漏洞被披露,并且补丁也已发布。企业会安排时间来部署这些补丁——如果你的系统有成千上万个,那可不是闹着玩的。然后,在获得所有利益相关者的同意并安排好人员执行任务(通常都是在半夜),接下来是一场令人筋疲力竭的冲刺,最后某个高管会收到一份报告,声称企业系统安全了。
现在想象一下,如果第二天你收到一封邮件,说“实际上,那样做并没有真正解决问题,你需要重做一遍”。谋杀案就是这样发生的。
所以TM的做法是稍微放慢速度,但这其实是一把双刃剑。如果你匆忙发布一个修复补丁,之后又需要对这个补丁进行二次修复,至少你成功地减轻了最初的攻击。但另一方面,如果你想花更多时间发布一个更完善、经过更多测试的补丁,那么用户的系统可能已经被攻击了。
在Zero Day Initiative 博客上阅读更多关于 TM 方法的信息。
