Microsoft patchdinsdag bestaat 10 jaar
Al tien jaar lang worden elke tweede dinsdag van de maand miljoenen Windowscomputers met nieuwe updates bijgewerkt. Om de beveiligingsproblemen met het Windowsplatform aan te pakken kondigde Microsoftbaas Steve Ballmer op 9 oktober 2003 verschillende maatregelen aan.
Eén van die maatregelen was de introductie van een vaste patchcyclus, waarbij er niet meer ad-hoc beveiligingsupdates verschenen, maar op een vast moment. Hierdoor konden systeembeheerders vooral binnen bedrijven zich beter op het testen en uitrollen van de patches voorbereiden. Volgens Microsoft moest hierdoor de complexiteit van patchmanagement afnemen.
Patchdinsdag
Om gebruikers en systeembeheerders beter voor te bereiden werd later ook besloten om de vrijdag voor de tweede patchdinsdag al details over de te patchen programma's uit te brengen. Volgens Andrew Storms van CloudPassage heeft het security-initatief wat Microsoft tien jaar geleden introduceerde voor grote veranderingen in de security-industrie gezorgd.
Microsoft liet zien dat communicatie zeer belangrijk is, zowel naar klanten als beveiligingsonderzoekers, gaat Storms verder. Ook introduceerde het verschillende zaken als een beoordeling van kwetsbaarheden waarvan de omschrijving openbaar is en een consistent formaat van de tekst en vormgeving van de Security Bulletins.
Voorbeeld
"Security-mensen houden van herhaalbare en betrouwbare systemen en dat is precies wat Microsoft leverde", stelt Storms. Hij is dan ook zeer over patchdinsdag te spreken, een idee dat uiteindelijk door fabrikanten als Cisco, Adobe en Oracle werd overgenomen. "Bedenk eens waar je vandaag zou zijn als Microsoft tien jaar gelden niet die sprong had genomen."
In een situatie waar genoemde bedrijven wel direct de mogelijkheid geven om patches te installeren ipv. dit vast te houden tot een bepaalde dag? Als beheerder/gebruiker wil IK de controle over hoe/wat/waar en wanneer er patches geinstalleerd gaan worden, niet de knutselaar die in eerste instantie verantwoordelijk is voor het aanleveren van brakke software. Nu kan dat vast wel weer als ik er maar voor betaal (disclaimer: ik besteed mijn aandacht voornamelijk aan partijen die WEL direct en 99,9% correct werken patches kunnen opleveren), maar dat maakt het verhaal wel even iets anders: Puur commericieel, een marketing truuk en verder uitwringen van je klanten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
