Microsoft
ends free Patch Tuesday security notices
by
Dan Worth, 09 Jan 2015
Bài
được đưa lên Internet ngày: 09/01/2015
Lời
người dịch: Trích đoạn: “Microsoft sẽ dừng cung cấp
các thông báo tự do Bản vá ngày thứ Ba cho các khách
hàng không phải hàng đầu trong một động thái bị một
số người gắn nhãn như “một cuộc tấn công vào các
đội CNTT””. Phản ứng của một giám đốc về kỹ
thuật an toàn về quyết định này: ““Microsoft
về cơ bản đang đi ngược về thông điệp của 'hãy cứ
tin tưởng mù quáng' là chúng tôi sẽ vá mọi thứ cho
bạn. Thành thật, điều đó gây sốc””.
Xem thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.
Microsoft
sẽ dừng cung cấp các thông báo tự do Bản vá ngày thứ
Ba cho các khách hàng không phải hàng đầu trong một động
thái bị một số người gắn nhãn như “một cuộc tấn
công vào các đội CNTT”.
Sự
thay đổi có liên quan tới Dịch vụ Thông báo Trước -
ANS (Advance Notification Service) mà đã cung cấp cho các tổ
chức với thông tin về các phiên bản sắp tới của Bản
vá ngày thứ Ba.
ANS
đã trao cho các doanh nghiệp cơ hội đánh giá cách mà các
bản cập nhật có thể ảnh hưởng tới các hệ thống
của họ, và dừng bất kỳ bản cập nhật nào mà có thể
gây ra các vấn đề.
Tuy
nhiên, Chris
Betz, giám đốc cao cấp của Trung tâm Ứng cứu An toàn
của Microsoft, đã nói trong một bài viết trên blog
rằng hãng tin tưởng đa số khách hàng không cần thông
tin ANS và để các bản cập nhật xảy ra một cách tự
động.
“Ý
kiến phản hồi của khách hàng chỉ ra rằng nhiều khách
hàng lớn không còn sử dụng ANS theo cách y hệt mà họ
đã làm trong quá khứ vì các phương pháp kiểm thử và
triển khai được tối ưu hóa”, ông nói.
“Trong
khi vài khách hàng vẫn còn dựa vào ANS, thì đa số chờ
Bản vá ngày thứ Ba, hoặc không làm gì cả, cho phép các
bản cập nhật xảy ra một cách tự động”.
Như
một kết quả, ANS sẽ được làm cho sẵn sàng chỉ cho
những ai trả tiền để có quyền ưu tiên.
“Chúng
tôi sẽ cung cấp thông tin ANS trực tiếp tới các khách
hàng và các tổ chức hàng đầu hiện hành có liên quan
trong các chương trình an toàn của chúng tôi, và sẽ không
làm cho thông tin này sẵn sàng một cách rộng rãi qua một
bài viết trên blog và trang web nữa”, Betz nói.
Quyết
định này đã kéo theo sự giận dữ từ vài cộng đồng
an toàn. Ross Barrett, giám đốc cao cấp về kỹ thuật an
toàn ở Rapid7, đã cay độc về quyết định này.
“Đây
là cuộc tấn công vào CNTT và các đội an toàn CNTT khắp
mọi nơi. Tiến hành thay đổi này mà không có bất kỳ
thời gian hướng dẫn nào đơn giản là quên sự ảnh
hướng mà điều này sẽ có trong thế giới thực”, ông
nói.
“Microsoft
về cơ bản đang đi ngược về thông điệp của 'hãy cứ
tin tưởng mù quáng' là chúng tôi sẽ vá mọi thứ cho
bạn. Thành thật, điều đó gây sốc”.
Wolfgang
Kandek, giám đốc công nghệ của Qualys, cũng nói khi bảo
vệ thông tin ANS.
“Tôi
đã luôn nghĩ rằng các khách hàng của chúng tôi đã có
quan tâm trong thông tin có trong ANS, nhưng chúng tôi sẽ xem
làm thế nào để khắc phục được”, ông nói.
Những
người chuyên nghiệp về CNTT trên Twitter cũng đã nghi ngờ
về quyết định này.
Microsoft
is to stop providing free Patch Tuesday notices to non-premier
customers in a move labelled by some as "an assault on IT
teams".
The
change relates to the Advance Notification Service (ANS) that
provided organisations with information about upcoming Patch Tuesday
releases.
ANS
gave businesses the chance to assess how the updates could affect
their systems, and stop any update that could cause problems.
However,
Chris
Betz, senior director of Microsoft's Security Response Center, said
in a blog post that the company believes the majority of
customers do not need the ANS information and let the updates happen
automatically.
“Customer
feedback indicates that many of our large customers no longer use ANS
in the same way they did in the past due to optimised testing and
deployment methodologies,” he said.
“While
some customers still rely on ANS, the vast majority wait for Update
Tuesday, or take no action, allowing updates to occur automatically.”
As
a result ANS will be made available only to those paying for the
privilege.
“We
will provide ANS information directly to Premier customers and
current organisations involved in our security programmes, and will
no longer make this information broadly available through a blog post
and web page,” said Betz.
The
decision drew anger from some in the security community. Ross
Barrett, senior manager of security engineering at Rapid7, was
scathing about the decision.
“This
is an assault on IT and IT security teams everywhere. Making this
change without any lead up time is simply oblivious to the impact
this will have in the real world,” he said.
“Microsoft
is basically going back to a message of ‘just blindly trust’ that
we will patch everything for you. Honestly, it's shocking.”
Wolfgang
Kandek, chief technology officer of Qualys, also spoke up in defence
of the ANS information.
“I
have always thought that our customers were interested in the
information contained in ANS, but we will see how that works out,”
he said.
IT
professionals on Twitter were also sceptical about the decision.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.