9年2003月XNUMX日、マイクロソフトのCEOであるスティーブ・バルマーは、「予測可能性と管理性のレベルを高めることでIT管理者の負担を軽減する」ために、月にXNUMX回だけセキュリティパッチを発行すると発表しました.

XNUMX 年経った今でも、Microsoft は毎月第 XNUMX 火曜日にセキュリティ アップデートを発行し続けていますが、緊急事態を時折例外としており、Oracle や Adob​​e などの他の多くの企業も同様の規則に従っています。

パッチ火曜日 リスク管理を毎月の予定に変えましたが、多くのイノベーションと同様に、危機から設立されました。 2002 年の初め、世界が最初のサイバー終末を XNUMX 回経験した直後、 コードレッドとニムダ、マイクロソフトはセキュリティに関する哲学を変更することを決定しました。 数時間で数十万台のマシンに感染した XNUMX つのワームは、パッチが利用可能な脆弱性を悪用しました。

「問題は、パッチを作成していなかったことではありません。 2000 年から 2010 年まで Microsoft に勤務し、現在は Sophos の脅威研究担当シニア マネージャーである Christopher Budd は言います。

当時、9/11 のトラウマは北米で明白であり、Microsoft 内でセキュリティに関する懸念が高まっていました。 15 年 2002 月 XNUMX 日、ビル ゲイツは有名な 信頼できるコンピューティングのメモ、顧客とそのシステムを保護することの重要性を強調しています。

セキュリティを向上させる XNUMX つの方法は、パッチの配信方法を変更することでした。 そのため、Microsoft は、準備が整ったら出荷するという予測不可能な発表を XNUMX 週間に数回行う代わりに、顧客がすべての情報を簡単に把握できるように、それらをまとめて積み上げ始めました。

当初、このアイデアは「サイレント パイロット プロジェクト」として実装された、とバッドは言います。 しかし、有望な結果が得られたため、すぐに公式化されました。 の 最初の公式パッチ火曜日 このレポートは 14 年 2003 月 XNUMX 日に発行され、XNUMX つの脆弱性が含まれており、そのうち XNUMX つが重大であると見なされていました。

「火曜日は、これらを持続的に提供できると感じた週の中で最も早い日でした」と、Patch Tuesday の構築を支援した Budd 氏は言います。

この固定スケジュールのアプローチは、業界の標準的な慣行となっています。 しかし、そこまでの道のりは決して平坦なものではありませんでした。

パッチチューズデイの初期

何年にもわたって、Microsoft はセキュリティ パッチへのアプローチを進化させ、洗練させ、変化する脅威に適応してきました。 Code Red に続く注目すべきワーム。 サッサーとブラスター、Patch Tuesday が成長し、最終的に成熟するのに役立ちました。

Trustworthy Computing のメモの後、「突然非常に重要になった」Microsoft Security Response Center の Budd と彼の同僚は、パッチの展開と検出に関する改善を試みました。 主な成果の XNUMX つは、管理者がスキャンを実行し、セキュリティ アップデートが必要なシステムを特定できるようにするツールを構築したことです。このアイデアは、シンプルながら、ゲームチェンジャーであることが証明されました。

パッチをリリースするプロセス全体で、特にすべてをチェックする必要があるパッチ チューズデーの前の月曜日に、大規模な作業が必要でした。 セキュリティの専門家は、家に帰る時間がなかったために長時間を費やし、誕生日パーティーを欠席し、Microsoft の本社にシャワーを浴びることさえしました。

そのため、ブリテンのリリースはスピーカーから流れる音楽で祝われました。

2008 年から 2014 年まで Microsoft に勤務し、現在は Trend Micro の Zero Day Initiative で脅威認識の責任者を務める Dustin Childs は、次のように述べています。

通常、音楽はその速報のリリース マネージャーによって選ばれました。

「ある月はクリンゴン音楽だったのを覚えていますが、たいていはロックンロールでした」とチャイルズは言います。

時折、音楽が停止した直後に、一部のパッチが意図しない結果を引き起こしたため、混乱が発生しました。 2010 年 XNUMX 月に XNUMX つの注目すべきインシデントが発生し、数千の顧客がほぼ即座にブルー スクリーンを報告しました。

レドモンドのセキュリティ専門家は、ブルー スクリーンの問題について耳にしたとき、それを再現しようとしましたが、成功しませんでした。 より良い解決策がないため、Microsoft は顧客のコンピューターを購入し、その顧客はダラス近郊のサポート センターに電話して問題を報告しました。

「そして、そのコンピューターを手に入れるとすぐに、ルートキットがインストールされていることがわかりました」と Childs 氏は言います。

　 アルレオン ルートキットが Windows カーネル バイナリに変更を加えたため、システムが不安定になりました。 同社はパッチを再発行し、問題を修正しました。

「しかし、本当に面白いのは、ルートキットを作成した人々が私たちよりも早くそれを理解し、[リリースから] 48 時間以内にパッチを回避するようにルートキットを更新したことです」と Childs 氏は言います。 「修理にXNUMX週間かかりました！」

パッチ チューズデーの歴史の中で奇妙なエピソードはこれだけではありませんでした。 たとえば、チャイルズ氏は、Internet Explorer のパッチによって韓国のオンライン バンキングがクラッシュし、Windows Media Player のパッチによって国全体がクラッシュしたことを XNUMX 回覚えています。

「何らかの理由で、デンマークのシステムではブルー スクリーンが表示されました」と彼は言います。 「そのため、そのパッチをリコールして修正し、再リリースする必要がありました。 そして、その翌月、また同じことが起こりました。 デンマークのシステムに具体的に何があったのかはわかりません。」

今日でも、Microsoft だけでなく、一般的なソフトウェア会社によってリリースされた一部のパッチは問題を引き起こす可能性があり、それらをインストールする人にとってはイライラする可能性があります。 チャイルズ氏は、ベンダーがこれらの修正の信頼性を向上させれば、顧客は、他の人が問題を経験したかどうかを確認するために数週間または数か月待つのではなく、すぐに適用することをいとわないかもしれないと主張しています.

システムが既知の脆弱性に対して脆弱なままになるため、待機アプローチを採用することは危険です。 これが、Childs がユーザーにできるだけ早くパッチを適用することを推奨する理由です。 彼はまた彼らに注意を喚起するように言います 低品質のパッチ.

「ベンダーに説明責任を負わせましょう」とチャイルズ氏は言います。 「彼らが適切なパッチを作成していることを確認しましょう。」

Microsoft の副 CISO である Aanchal Gupta 氏は、同社はパッチの「広範なテスト」を行っていると述べています。

「お客様にパッチを発行する前に、マイクロソフト内だけでなく、厳密なテストを行います。 … [私たちにはまた、一連のベータ テスターや外部企業がいて、実際に公開される前の早い段階でパッチを入手しています」と彼女は言います。 「彼らは彼らの環境でテストし、彼らの環境にパッチが機能しない原因となる独自の何かがあるかどうかを私たちに報告することができます。」

今日のパッチ火曜日

パッチチューズデーは、クリンゴン音楽がスピーカーから鳴り響いていた初期の頃から長い道のりを歩んできました。 時間が経つにつれて、リリースはより静かになり、さらには自動化され、一部のユーザーには見えなくなりました.

過去 2010 年間で、Microsoft はプロセスを合理化するためにいくつかの変更を加えました。 たとえば、XNUMX 年代半ばに、累積的な更新プログラムを発表しました。これにより、たとえば XNUMX つのパッチを逃した顧客は、残りのパッチが含まれていたため、最後の XNUMX つを適用するだけで済みました。 同社はまた、機械で読み取り可能な Security Update Guides を開始しました。これは、大規模なフリート展開を行う組織が自動化に依存できることを意味しました。

しかし、すべての変更がコミュニティに歓迎されたわけではありません。 マイクロソフトがセキュリティ速報を廃止してセキュリティ更新プログラム ガイドに置き換えることを決定したとき、顧客は受け取った情報が直感的ではないという不満を漏らしました。 2020 年の秋にも、脆弱性に関する詳細な情報を含むエグゼクティブ サマリーを削除したときに、同様のことが起こりました。 繰り返しになりますが、業界の多くは、十分な情報を受け取っていないと主張し、意思決定プロセスを困難にしました.

セキュリティ研究者の Claire Tills 氏は、Microsoft が下した「おそらく最も破壊的な」決定だったと述べています。 「何人かのディフェンダーもそれで本当に苦労したことを私は知っています。」

最近では、2022 年に、Microsoft はパッチ チューズデーを通常の火曜日にするためのさらなる一歩を踏み出したと発表しました。 自動パッチ、Windows Enterprise E3 および E5 ライセンスを持つ顧客の脆弱性に対処するプロセスを容易にすることを約束しました。 この動きにより、組織は、私たちが知っているパッチチューズデーがなくなるのではないかと考えましたが、マイクロソフトは噂を否定しました。

火曜日のパッチに関する宣伝は小さくなっています。 火曜日のパッチの脆弱性の数 ピークだったかもしれません。 特に「攻撃的な年」である 2020 年には、ティルズは約 1,200 を数えましたが、2022 年には 663 を数えました。

「脆弱性の種類に関して言えば、それは一貫して特権の昇格とリモートでのコード実行です」と彼女は言います。 「ときどき、情報漏えいとセキュリティ機能のバイパスがピークに達します。これら XNUMX つも発生します。」

しかし、パッチを適用するプロセスを合理化することを目的とした機能にもかかわらず、このタスクは、専任の技術サポート チームを雇う余裕のない中小企業にとって依然として困難な場合があります。 これが、Gupta がこれらのクライアントにクラウドへの移行を推奨する理由です。

「そうすれば、純粋にビジネスに集中でき、システムのパッチ適用や管理について心配する必要がなくなります」と彼女は言います。 「また、デフォルトのアップグレードを無効にしないことをお勧めします。」

しかし、プロセスの自動化に移行するにつれて、更新に XNUMX 日を費やすのは時代遅れでしょうか?

パッチ チューズデーは時代遅れになりつつありますか?

サイバーセキュリティの世界を、XNUMX 年にわたって業界に不可欠な要素であるパッチ チューズデイなしで理解することは困難です。 しかし、脅威がより巧妙になり、地政学がより不安定になるにつれて、従来のパッチ チューズデー モデルでは、システムを安全に保つのに十分でなくなる可能性があります。

競争の激しい分野やウクライナのようなホットな地域など、複雑な環境で活動している組織は、パッチ管理に関して間違いを犯すわけにはいきません。 攻撃者は、「特定の個人や組織ではなく、技術的な脆弱性を標的にすることがよくありました」と、ロシアとの戦争中にいくつかの組織を保護してきたサイバーセキュリティの新興企業である UnderDefense の創設者兼 CEO である Nazar Tymosyk 氏は述べています。

「テクノロジー スタックまたは古い Web リソースのパッチが適用されていない脆弱性の悪用は、サイバー インテリジェンス活動における [ロシアの] 成功の 50% をいまだに占めています」と彼は言います。

Tymosyk 氏は、Patch Tuesday がまだ必要であり、廃止されるべきではないと考えています。 ただし、組織はその上に構築し、採用する必要があります。 追加のパッチ適用ルーチン インフラストラクチャのサイズと複雑さ、または使用するソフトウェアとシステムの種類によって異なります。

Tenable のシニア スタッフ リサーチ エンジニアである Satnam Narang 氏も、パッチ チューズデーを継続することを支持しています。 セキュリティ重視の文化.

「毎週、人々は私たちの通りからゴミを拾いに来ます。それが毎週特定の日に行われていることを知っています」と彼は言います。 「Patch Tuesday が貴重なリソースである理由は、毎月特定の日に行われるため、組織はこれらの脆弱性にパッチを当てるために必要な時間を割くことができるからです。」

セキュリティ チームはすでに圧倒されているため、無秩序なパッチ システムは機能しない可能性があると Narang 氏は言います。 Votiro の CTO 兼創設者である Aviv Grafi 氏も同意見です。 「時間は非常に重要です。私たちは、セキュリティ チームがより多くの時間を使えるようにするテクノロジとソフトウェアの活用に集中する必要があります」と Grafi 氏は言います。

セキュリティ研究者は、継続的なパッチ サイクルと 自動更新 場合によっては、エンタープライズ レベルで常に実現できるとは限りません。 Nucleus のソリューション アーキテクトである David Farquhar 氏は、次のように述べています。

パッチ チューズデーは、多くの組織の日常業務における重要な要素ですが、それにもかかわらず、予測できない場合があります。 過去数年間は、その構造が事前の警告なしに変更される可能性があることを示しています。 「パッチ チューズデーは非常に基礎的でしっかりしているように見えますが、簡単に変更できます」と Tills 氏は言います。 「パッチ チューズデーの終了は、多くの組織にとって破滅的なものになる可能性があります。」

ただし、当分の間、Microsoft はプログラムを実行し続けるようです。 「パッチ チューズデーがすぐになくなる心配はありません」と Gupta 氏は言います。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/edge-articles/how-patch-tuesday-keeps-the-beat-after-20-years