Từ cuối 2021, sau hàng loạt các lỗi bảo mật nghiêm trọng được phát hiện. Tháng 4/2022, Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ ( National Institute of Standards and Technology – NIST) đã công bố cập nhật hướng dẫn quản lý bản vá lỗi cho doanh nghiệp sau gần một thập kỷ.
Ở phiên bản năm 2013 tập trung vào việc giúp các tổ chức triển khai công nghệ quản lý bản vá lỗi. Thì ở phiên bản mới tập trung vào việc phát triển các chiến lược quản lý bản vá lỗi.
Được tổng hợp bởi Trung tâm An ninh mạng Quốc gia (NCCoE) của NIST. NIST Special Publication (SP) 800-40 dựa trên giả định rằng các tổ chức sẽ được hiệu quả hơn nếu làm tốt kế hoạch quản lý bản vá hơn là đi sữa lỗi chúng”.
NIST cũng đã phát hành một ấn phẩm thể hiện các cách mà công cụ thương mại hỗ trợ các doanh nghiệp trong việc thực hiện hướng dẫn sửa lỗi.
Đơn giản hóa và vận hành
Hướng dẫn mới, tập trung vào chiến lược “thảo luận về các yếu tố phổ biến ảnh hưởng đến việc quản lý bản vá của doanh nghiệp và khuyến nghị tạo một chiến lược doanh nghiệp để đơn giản hóa và vận hành bản vá đồng thời cải thiện việc giảm thiểu rủi ro”.
Theo NIST, khi làm như vậy, hướng dẫn sẽ tạo cầu nối giữa các bên “chủ doanh nghiệp / cơ quan và quản lý an ninh / công nghệ về giá trị của việc vá lỗi”.
Ấn phẩm đồng hành, NIST SP 1800-31, là sản phẩm hợp tác giữa NCCoE và các nhà cung cấp công nghệ an ninh mạng lớn hiện nay.
Với sự đóng góp của các công ty như Cisco, IBM và Microsoft, nó phác thảo cách thức các công nghệ thương mại được triển khai “thực hiện các khả năng kiểm soát và vá lỗi mà các tổ chức cần để xử lý cả các tình huống vá lỗi thông thường và khẩn cấp”, cũng như “thực hiện các biện pháp giảm thiểu tạm thời, cô lập các phương pháp, hoặc các lựa chọn thay thế khác để vá lỗi ”.
Cân nhắc chi phí kinh doanh
NIST xem việc vá các lỗ hổng bảo mật trong firmware, hệ điều hành hoặc ứng dụng là một “chi phí kinh doanh” cần thiết.
Việc xem nhẹ quản lý bản vá dẫn đến những thỏa hiệp nghiêm trọng, sẽ giảm chi phí tài chính nhưng sẽ tăng chi phí cho việc mất danh tiếng, thời gian ngừng hoạt động của hệ thống, rò rỉ thông tin nhại cảm và các kết quả bất lợi khác.
Những kẻ tấn công nhanh hơn
Do hoạt động kém hiệu quả, hay lo lắng về tính khả dụng của hệ thống hay nhiều lý do khác. Nhiều doanh nghiệp vẫn chậm chạp trong việc vá lỗi hệ thống – ngay cả khi những kẻ tấn công tiếp tục khai thác các lỗ hổng nhanh hơn.
Một nghiên cứu gần đây của công ty an ninh mạng Rapid7 cho thấy thời gian trung bình để khai thác các lỗ hổng bảo mật, giảm từ 1 năm còn từ 42 đến 12 ngày.
Với việc các nhà cung cấp công nghệ hàng đầu thể hiện những cải tiến đáng kể trong việc tung ra các bản vá, NIST hy vọng việc cập nhật hướng dẫn quản lý bản vá sẽ khuyến khích các doanh nghiệp trở nên nhanh nhẹn hơn.
