Vào ngày 9 tháng 2003 năm XNUMX, Giám đốc điều hành Microsoft Steve Ballmer đã thông báo rằng công ty sẽ chỉ phát hành các bản vá bảo mật mỗi tháng một lần để “giảm bớt gánh nặng cho các quản trị viên CNTT bằng cách bổ sung một mức độ tăng cường khả năng dự đoán và quản lý”.

Hai thập kỷ sau, Microsoft tiếp tục phát hành các bản cập nhật bảo mật vào thứ Ba của tuần thứ hai hàng tháng, thỉnh thoảng có ngoại lệ cho các tình huống khẩn cấp và nhiều công ty khác như Oracle và Adobe cũng tuân theo các quy tắc tương tự.

Patch Tuesday biến quản lý rủi ro thành một cuộc hẹn hàng tháng, nhưng giống như nhiều đổi mới, nó được thành lập từ khủng hoảng. Vào đầu năm 2002, ngay sau khi thế giới trải qua hai trong số những ngày tận thế mạng đầu tiên, Mã đỏ và Nimda, Microsoft đã quyết định thay đổi triết lý của mình về bảo mật. Hai con sâu này đã lây nhiễm hàng trăm nghìn máy tính chỉ trong vài giờ, khai thác các lỗ hổng có sẵn các bản vá lỗi.

“Vấn đề không phải là chúng tôi không xây dựng các bản vá lỗi; vấn đề là mọi người không triển khai chúng đủ nhanh,” Christopher Budd, người đã làm việc cho Microsoft từ năm 2000 đến năm 2010 và hiện là quản lý cấp cao về nghiên cứu mối đe dọa tại Sophos, cho biết.

Vào thời điểm đó, chấn thương của sự kiện 9/11 có thể cảm nhận được ở Bắc Mỹ và mối quan tâm ngày càng tăng trong Microsoft về vấn đề bảo mật. Vào ngày 15 tháng 2002 năm XNUMX, Bill Gates đã gửi bức thư nổi tiếng của mình Bản ghi nhớ Máy tính đáng tin cậy, nêu bật tầm quan trọng của việc bảo vệ khách hàng và hệ thống của họ.

Một cách để cải thiện bảo mật là thay đổi cách phân phối các bản vá lỗi. Vì vậy, thay vì thông báo chúng một cách bất ngờ, trên cơ sở sẵn sàng giao hàng, vài lần trong một tuần, Microsoft bắt đầu xếp chúng lại với nhau để giúp khách hàng dễ dàng cập nhật mọi thứ hơn.

Lúc đầu, ý tưởng được thực hiện như một “dự án thí điểm thầm lặng,” Budd nói. Tuy nhiên, vì nó cho thấy những kết quả đầy hứa hẹn, nó đã sớm được chính thức công bố. Các Patch thứ ba chính thức đầu tiên báo cáo đã được xuất bản vào ngày 14 tháng 2003 năm XNUMX và nó bao gồm bảy lỗ hổng, năm trong số đó được coi là nghiêm trọng.

“Thứ Ba là ngày sớm nhất trong tuần mà chúng tôi cảm thấy mình có thể cung cấp những thứ này một cách bền vững,” Budd, người đã giúp xây dựng Bản vá Thứ Ba, cho biết.

Cách tiếp cận theo lịch trình cố định này đã trở thành một thông lệ tiêu chuẩn trong ngành. Nhưng con đường đến đó không phải lúc nào cũng suôn sẻ.

Những ngày đầu của Patch thứ ba

Trong suốt nhiều năm, Microsoft đã phát triển và tinh chỉnh cách tiếp cận của mình đối với các bản vá bảo mật, thích ứng với các mối đe dọa đang thay đổi. Những con sâu đáng chú ý theo Code Red, chẳng hạn như Sasser và Blaster, đã giúp Patch Tuesday phát triển và cuối cùng trưởng thành.

Budd và các đồng nghiệp của anh ấy trong Trung tâm phản hồi bảo mật của Microsoft, những người “đột nhiên trở nên vô cùng quan trọng” sau bản ghi nhớ Máy tính đáng tin cậy, đã cố gắng thực hiện các cải tiến xung quanh việc triển khai và phát hiện bản vá. Một thành tựu quan trọng là xây dựng các công cụ cho phép quản trị viên thực hiện quét và xác định các hệ thống cần cập nhật bảo mật — một ý tưởng tuy đơn giản nhưng đã được chứng minh là có thể thay đổi cuộc chơi.

Toàn bộ quá trình phát hành các bản vá yêu cầu nhiều công việc, đặc biệt là vào Thứ Hai trước Thứ Ba của Bản vá, khi mọi thứ phải được kiểm tra. Các chuyên gia bảo mật đã làm việc nhiều giờ, bỏ lỡ các bữa tiệc sinh nhật và thậm chí tắm trong trụ sở chính của Microsoft vì họ không có thời gian về nhà.

Đó là lý do tại sao việc phát hành các bản tin được tổ chức với tiếng nhạc nổ trên loa phóng thanh.

Dustin Childs, người đã làm việc cho Microsoft từ năm 2008 đến năm 2014 và hiện là người đứng đầu bộ phận nhận thức về mối đe dọa tại Sáng kiến ​​Zero Day của Trend Micro cho biết: “Khi các bản tin được phát trực tiếp, đó là một vấn đề lớn đối với chúng tôi.

Thông thường, bản nhạc được người quản lý phát hành chọn cho bản tin đó.

Childs nói: “Tôi nhớ có một tháng đó là nhạc Klingon, nhưng nó thường là nhạc rock and roll.

Đôi khi, ngay sau khi âm nhạc dừng lại, sự hỗn loạn sẽ xảy ra vì một số bản vá gây ra hậu quả không lường trước được. Một sự cố đáng chú ý đã xảy ra vào tháng 2010 năm XNUMX, khi hàng nghìn khách hàng báo cáo màn hình xanh gần như ngay lập tức.

Khi các chuyên gia bảo mật ở Redmond biết về sự cố màn hình xanh, họ đã cố gắng sao chép nó nhưng không thành công. Vì thiếu giải pháp tốt hơn, Microsoft đã mua máy tính của một khách hàng đã gọi đến trung tâm hỗ trợ gần Dallas để báo cáo sự cố.

Childs nói: “Và ngay sau khi chúng tôi nhận được chiếc máy tính đó, chúng tôi phát hiện ra rằng nó đã cài đặt rootkit trong đó.

Sản phẩm Alureon rootkit đã thực hiện các sửa đổi đối với các tệp nhị phân Windows Kernel, khiến hệ thống không ổn định. Công ty đã phát hành lại bản vá và khắc phục sự cố.

“Tuy nhiên, điều thực sự buồn cười là những người tạo ra rootkit đã tìm ra nó nhanh hơn chúng tôi và họ đã cập nhật rootkit của mình để tránh bản vá trong vòng 48 giờ [kể từ khi phát hành],” Childs nói. “Chúng tôi đã mất một tuần để sửa nó!”

Và đó không phải là tình tiết kỳ lạ duy nhất trong lịch sử của Patch Tuesday. Ví dụ, Childs nhớ rằng một bản vá Internet Explorer đã làm hỏng ngân hàng trực tuyến ở Hàn Quốc, trong khi một bản vá Windows Media Player đã làm hỏng cả một quốc gia - hai lần.

“Vì lý do nào đó, trên các hệ thống ở Đan Mạch, nó hiển thị màn hình xanh,” anh nói. “Vì vậy, chúng tôi phải thu hồi bản vá đó và sửa nó, phát hành lại nó. Và rồi, ngay tháng sau, điều tương tự lại xảy ra. Tôi không biết điều gì cụ thể về các hệ thống ở Đan Mạch.”

Thậm chí ngày nay, một số bản vá được phát hành bởi các công ty phần mềm nói chung, không chỉ Microsoft, có thể gây ra sự cố, khiến những người cài đặt chúng có thể khó chịu. Childs lập luận rằng nếu các nhà cung cấp cải thiện độ tin cậy của các bản sửa lỗi này, thì khách hàng có thể sẵn sàng áp dụng chúng ngay lập tức, thay vì chờ đợi hàng tuần hoặc hàng tháng để xem liệu những người khác có gặp sự cố hay không.

Thực hiện phương pháp chờ đợi có thể gặp rủi ro vì nó khiến hệ thống của họ dễ bị tổn thương trước các lỗ hổng đã biết. Đó là lý do tại sao Childs khuyến nghị người dùng áp dụng các bản vá càng sớm càng tốt. Ông cũng nói với họ để kêu gọi sự chú ý đến miếng dán kém chất lượng.

Childs nói: “Hãy quy trách nhiệm cho các nhà cung cấp. “Hãy đảm bảo rằng họ đang sản xuất các bản vá tốt.”

Aanchal Gupta, phó CISO của Microsoft, cho biết công ty đang thực hiện "thử nghiệm rộng rãi" các bản vá lỗi.

“Trước khi chúng tôi phát hành bất kỳ bản vá nào cho khách hàng của mình, nó sẽ trải qua quá trình kiểm tra nghiêm ngặt không chỉ trong nội bộ Microsoft. … [W]e cũng có một nhóm người thử nghiệm bản beta, các công ty bên ngoài và họ sớm nhận được các bản vá trước khi chúng thực sự được công khai,” cô ấy nói. “Họ có thể thử nghiệm trong môi trường của họ và báo cáo lại cho chúng tôi xem có điều gì đó đặc biệt trong môi trường của họ có thể khiến bản vá không hoạt động hay không.”

Bản vá thứ ba hôm nay

Patch Tuesday đã đi một chặng đường dài kể từ những ngày đầu khi nhạc Klingon phát ra từ loa. Theo thời gian, các bản phát hành đã trở nên yên tĩnh hơn và thậm chí là tự động, trở nên vô hình đối với một số người dùng.

Trong thập kỷ qua, Microsoft đã thực hiện một số thay đổi để hợp lý hóa quy trình. Ví dụ, vào giữa những năm 2010, hãng đã công bố các bản cập nhật tích lũy để một khách hàng chẳng hạn như bỏ lỡ năm bản vá chỉ cần áp dụng bản vá cuối cùng vì những bản vá khác đã được bao gồm trong đó. Công ty cũng đã ra mắt Hướng dẫn cập nhật bảo mật có thể đọc được bằng máy, điều này có nghĩa là các tổ chức có triển khai nhóm lớn có thể dựa vào tự động hóa.

Nhưng không phải sự thay đổi nào cũng được cộng đồng hoan nghênh. Khi Microsoft quyết định loại bỏ các bản tin bảo mật và thay thế chúng bằng Hướng dẫn cập nhật bảo mật, khách hàng phàn nàn rằng thông tin họ nhận được ít trực quan hơn. Điều tương tự đã xảy ra vào mùa thu năm 2020, khi gã khổng lồ công nghệ xóa các bản tóm tắt điều hành bao gồm thông tin chi tiết về các lỗ hổng bảo mật. Một lần nữa, nhiều người trong ngành lập luận rằng họ không nhận được đủ thông tin, khiến quá trình ra quyết định của họ trở nên khó khăn.

Nhà nghiên cứu bảo mật Claire Tills cho biết, đó “có lẽ là quyết định đột phá nhất” mà Microsoft đưa ra. “Tôi biết một số hậu vệ cũng thực sự gặp rắc rối với điều đó.”

Gần đây hơn, vào năm 2022, Microsoft đã thực hiện một bước nữa để biến Thứ Ba Bản vá thành Thứ Ba thông thường, khi công bố Vá tự động, hứa hẹn sẽ giảm bớt quá trình giải quyết các lỗ hổng cho khách hàng có giấy phép Windows Enterprise E3 và E5. Động thái này khiến các tổ chức tự hỏi liệu Bản vá Thứ Ba như chúng ta biết có thể biến mất hay không, một tin đồn mà Microsoft đã phủ nhận.

Sự công khai xung quanh Patch Thứ ba ngày càng ít hơn và số lỗ hổng Patch Tuesday có thể đã đạt đến đỉnh điểm. Vào năm 2020, một “năm tích cực” đặc biệt, Tills đếm được khoảng 1,200, trong khi vào năm 2022, cô ấy thấy 663.

Cô ấy nói: “Xét về các loại lỗ hổng, nó liên tục nâng cao đặc quyền và thực thi mã từ xa. “Thỉnh thoảng, chúng ta sẽ đạt đỉnh điểm về tiết lộ thông tin và bỏ qua tính năng bảo mật — cả hai điều đó cũng xuất hiện.”

Nhưng bất chấp các tính năng nhằm hợp lý hóa quy trình áp dụng các bản vá, nhiệm vụ này vẫn có thể gây khó khăn cho các doanh nghiệp nhỏ không đủ khả năng chi trả cho một nhóm hỗ trợ kỹ thuật chuyên dụng. Đó là lý do tại sao Gupta khuyến nghị những khách hàng này chuyển sang đám mây.

“Sau đó, bạn hoàn toàn có thể tập trung vào công việc kinh doanh của mình và không phải lo lắng về việc vá lỗi và quản lý hệ thống,” cô nói. “Tôi cũng khuyến khích mọi người không tắt các bản nâng cấp mặc định.”

Tuy nhiên, khi chúng ta chuyển sang tự động hóa các quy trình, việc dành một ngày để cập nhật có lỗi thời không?

Bản vá thứ ba có trở nên lỗi thời không?

Thật khó để hiểu được thế giới an ninh mạng mà không có Bản vá Thứ ba, vốn là một phần không thể thiếu của ngành trong hai thập kỷ. Tuy nhiên, khi các mối đe dọa trở nên tinh vi hơn và địa chính trị trở nên bất ổn hơn, mô hình truyền thống của Patch Tuesday có thể không còn đủ để giữ an toàn cho hệ thống.

Các tổ chức hoạt động trong môi trường phức tạp, chẳng hạn như trong các lĩnh vực cạnh tranh đó hoặc có trụ sở tại các khu vực nóng như Ukraine, không thể phạm sai lầm khi quản lý bản vá. Nazar Tymoshyk, người sáng lập kiêm Giám đốc điều hành của công ty khởi nghiệp về an ninh mạng UnderDefense, cho biết các tác nhân đe dọa thường “nhắm mục tiêu vào các lỗ hổng kỹ thuật hơn là các cá nhân hoặc tổ chức cụ thể”.

Ông nói: “Việc khai thác các lỗ hổng chưa được vá trong kho công nghệ hoặc tài nguyên Web lỗi thời vẫn chiếm 50% thành công của [Nga] trong các hoạt động tình báo mạng.

Tymoshyk tin rằng Patch Tuesday vẫn cần thiết và không nên bỏ đi. Tuy nhiên, các tổ chức nên xây dựng trên đó, áp dụng thói quen vá bổ sung tùy thuộc vào quy mô và độ phức tạp của cơ sở hạ tầng hoặc loại phần mềm và hệ thống mà họ sử dụng.

Satnam Narang, kỹ sư nghiên cứu nhân viên cấp cao tại Tenable, cũng ủng hộ việc duy trì Patch Tuesday vì các thói quen có thể giúp các tổ chức thúc đẩy văn hóa tập trung vào an ninh.

“Mỗi tuần, có người đến nhặt rác trên đường phố của chúng tôi và chúng tôi biết rằng điều đó diễn ra hàng tuần vào một ngày cụ thể,” anh nói. “Lý do tại sao Patch Tuesday là một tài nguyên quý giá là nó diễn ra hàng tháng vào một ngày cụ thể, vì vậy nó cho phép các tổ chức dành thời gian cần thiết để vá những lỗ hổng này.”

Narang cho biết, một hệ thống vá lỗi hỗn loạn có thể không hoạt động vì các nhóm bảo mật đã quá tải. Aviv Grafi, CTO và người sáng lập tại Votiro, đồng ý. Grafi nói: “Thời gian là điều cốt yếu và chúng ta cần tập trung vào việc tận dụng các công nghệ và phần mềm giúp các nhóm bảo mật có nhiều thời gian hơn trước đây.

Các nhà nghiên cứu bảo mật cũng cho biết thêm rằng các chu kỳ vá lỗi liên tục và cập nhật tự động có thể không phải lúc nào cũng khả thi ở cấp doanh nghiệp trong một số trường hợp. David Farquhar, kiến ​​trúc sư giải pháp tại Nucleus cho biết: “Trong trường hợp xảy ra sự cố, các tổ chức lớn cần có khả năng khôi phục hệ thống về trạng thái đã biết và điều đó đòi hỏi phải lập kế hoạch.

Patch Tuesday là một yếu tố quan trọng trong thói quen của nhiều tổ chức, nhưng bất chấp điều đó, nó có thể không thể đoán trước. Những năm qua đã chỉ ra rằng cấu trúc của nó có thể thay đổi mà không có cảnh báo trước. Tills nói: “Mặc dù Patch Tuesday có cảm giác rất nền tảng và vững chắc, nhưng nó có thể thay đổi bất ngờ. “Sự kết thúc của Patch Tuesday có thể là thảm họa đối với nhiều tổ chức.”

Tuy nhiên, hiện tại, có vẻ như Microsoft sẽ tiếp tục chạy chương trình. Gupta nói: “Tôi sẽ không lo lắng về việc Patch Tuesday sẽ sớm biến mất.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/edge-articles/how-patch-tuesday-keeps-the-beat-after-20-years