Kritiek op Microsoft wegens schrappen ANS update-informatie
De beslissing van Microsoft om informatie over aankomende beveiligingsupdates niet meer vooraf openbaar te maken heeft voor kritiek van IT-experts gezorgd. De softwaregigant liet donderdag weten dat het met de Microsoft Security Bulletin Advance Notification Service (ANS) ging stoppen.
Via de Service gaf Microsoft op de vrijdag voor patchdinsdag een overzicht van de updates die de dinsdag erna zouden verschijnen. Het ging dan om het aantal te verschijnen updates, de ernst van de verholpen kwetsbaarheden en de getroffen software. Op deze manier konden systeembeheerders en organisaties alvast bepalen welke updates de hoogste prioriteit moesten krijgen.
Verschillende media hebben het nieuws van Microsoft verkeerd geïnterpreteerd en laten weten dat Microsoft geen informatie meer over beveiligingsupdates geeft. Dit is onjuist. Elke tweede dinsdag geeft Microsoft nog steeds een overzicht van beschikbare updates en verholpen kwetsbaarheden. Alleen de vooraankondiging wordt niet meer openbaar gemaakt. Die zal voortaan alleen met "Premier" klanten worden gedeeld.
Informatie
Volgens de softwaregigant zouden met name grote bedrijven de informatie van ANS anders gebruiken dan voorheen en de prioriteit van de updates op andere manieren bepalen. Het Internet Storm Center laat weten dat nog veel experts en security professionals bij het plannen van de updatecyclus naar de ANS-informatie kijken. Beheerders zullen dat proces dan ook nu moeten aanpassen. Informatie over de updates zal namelijk pas bekend worden als de updates zelf verschijnen.
"Slecht idee en verkeerde beslissing om dit voor het publiek te verbergen", zegt één van de critici op Twitter. Een ander merkt op dat het informeren van gebruikers belangrijk is, terwijl weer een ander laat weten dat het beperken van de informatie de veiligheid aantast. Eén iemand vraagt zich echter af of op deze manier aanvallers misschien minder informatie vooraf krijgen. Microsoft heeft zelf nog niet op de ontstane ophef gereageerd. Wel zal de softwaregigant aanstaande dinsdag 13 januari met de eerste beveiligingsupdates van 2015 komen, inclusief alle details en security bulletins die via deze pagina te bekijken zullen zijn.
Premier klanten zullen over het algemeen een DAAS strategie hebben waarbij ze zelf een test en uitrol strategy bepalen.
Het automatische updaten (update Tuesday) bekend voor SOHO is daar niet aan de orde.
Het is onderdeel van een afgesproken service (S voor service).
Dat dit betekent dat je altijd een tijdje achterloopt, ach, de software van deze fabrikant is toch al niet geschikt voor het open internet, dus moet je die toch met allerlei oplapmiddelen en beschermingsmuurtjes tegen omvallen stutten en weersinvloeden beschutten, of liever nog gewoon helemaal van het open internet afhouden.
Maargoed, ik ben dan ook gewend aan een open source wereld waar ik met mijn eigen buildserver private releases voor mijn servers kan maken die wellicht op de officieele release voorlopen. Daar kan eigenlijk geen enkele closed source aan tippen. Dat laatste betekent wel dat ik meer moet doen dan een keuze maken om deze als "kritiek" aangemerkte patch vandaag of morgen te installeren. Ik moet de probleembeschrijving doorgronden en begrijpen welk onderdeel hoe geraakt wordt door dit of dat onderhavige probleem. Voor mij precies wat ik wil, maar die afweging zal niet voor iedereen hetzelfde uitpakken.
Maargoed, wollige woorden versus helemaal niets vertellen voelt toch wel een beetje aan als lood om oud ijzer.
https://www.security.nl/posting/414396/Microsoft+stopt+met+vooraankondiging+beveiligingsupdates
Voor mij niet, als je dat gedaan hebt zul je namelijk doet zul je lezen:
"Consumenten en organisaties die toch nog informatie willen ontvangen worden doorverwezen naar MyBulletins, een gepersonaliseerde patchdienst waarbij gebruikers over een Microsoft-account moeten beschikken en kunnen aangeven welke Microsoft-software ze gebruiken. Vervolgens kan men een overzicht van beschikbare Security Bulletins bekijken. Het gaat hier echter om informatie die pas verschijnt als de beveiligingsupdates verschijnen. "
Er staat nergens iets dat je er voor zou moeten betalen. Voor de compleetheid van je opmerking je kunt het zelf uit proberen via: http://mybulletins.technet.microsoft.com/
Misschien wel beter om niet van te voren te veel weggeven voor de bad-guys. Als het nog niet aangepast is en je gaat vertellen wat je gaat doenm da geef je ze meteen de voorsprong om nog wat uit te halen.
Voor privé apparaten ben ik er niet echt in geinteresseerd als het maar bij blijft. Voor de professionele omgevingen waar ik mee te maken heb, wil ik het wel weten. Daar is veel meer te doen en in de gaten te houden. Zijn er ook andere maatregelen actief. Dat is het een heel collectief van specialismen. Kan je als eenling niet aan tippen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
