Microsoft chấm dứt thông báo tự do về an toàn Bản vá ngày thứ Ba

Microsoft ends free Patch Tuesday security notices

by Dan Worth, 09 Jan 2015

Theo: http://www.v3.co.uk/v3-uk/news/2389491/microsoft-ends-free-patch-tuesday-security-notices#

Bài được đưa lên Internet ngày: 09/01/2015

Các lỗi sống còn của thế giới phần mềm năm 2014

Lời người dịch: Trích đoạn: “Microsoft sẽ dừng cung cấp các thông báo tự do Bản vá ngày thứ Ba cho các khách hàng không phải hàng đầu trong một động thái bị một số người gắn nhãn như “một cuộc tấn công vào các đội CNTT””. Phản ứng của một giám đốc về kỹ thuật an toàn về quyết định này: ““Microsoft về cơ bản đang đi ngược về thông điệp của 'hãy cứ tin tưởng mù quáng' là chúng tôi sẽ vá mọi thứ cho bạn. Thành thật, điều đó gây sốc””. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.

Microsoft sẽ dừng cung cấp các thông báo tự do Bản vá ngày thứ Ba cho các khách hàng không phải hàng đầu trong một động thái bị một số người gắn nhãn như “một cuộc tấn công vào các đội CNTT”.

Sự thay đổi có liên quan tới Dịch vụ Thông báo Trước - ANS (Advance Notification Service) mà đã cung cấp cho các tổ chức với thông tin về các phiên bản sắp tới của Bản vá ngày thứ Ba.

ANS đã trao cho các doanh nghiệp cơ hội đánh giá cách mà các bản cập nhật có thể ảnh hưởng tới các hệ thống của họ, và dừng bất kỳ bản cập nhật nào mà có thể gây ra các vấn đề.

Tuy nhiên, Chris Betz, giám đốc cao cấp của Trung tâm Ứng cứu An toàn của Microsoft, đã nói trong một bài viết trên blog rằng hãng tin tưởng đa số khách hàng không cần thông tin ANS và để các bản cập nhật xảy ra một cách tự động.

“Ý kiến phản hồi của khách hàng chỉ ra rằng nhiều khách hàng lớn không còn sử dụng ANS theo cách y hệt mà họ đã làm trong quá khứ vì các phương pháp kiểm thử và triển khai được tối ưu hóa”, ông nói.

“Trong khi vài khách hàng vẫn còn dựa vào ANS, thì đa số chờ Bản vá ngày thứ Ba, hoặc không làm gì cả, cho phép các bản cập nhật xảy ra một cách tự động”.

Như một kết quả, ANS sẽ được làm cho sẵn sàng chỉ cho những ai trả tiền để có quyền ưu tiên.

“Chúng tôi sẽ cung cấp thông tin ANS trực tiếp tới các khách hàng và các tổ chức hàng đầu hiện hành có liên quan trong các chương trình an toàn của chúng tôi, và sẽ không làm cho thông tin này sẵn sàng một cách rộng rãi qua một bài viết trên blog và trang web nữa”, Betz nói.

Quyết định này đã kéo theo sự giận dữ từ vài cộng đồng an toàn. Ross Barrett, giám đốc cao cấp về kỹ thuật an toàn ở Rapid7, đã cay độc về quyết định này.

“Đây là cuộc tấn công vào CNTT và các đội an toàn CNTT khắp mọi nơi. Tiến hành thay đổi này mà không có bất kỳ thời gian hướng dẫn nào đơn giản là quên sự ảnh hướng mà điều này sẽ có trong thế giới thực”, ông nói.

“Microsoft về cơ bản đang đi ngược về thông điệp của 'hãy cứ tin tưởng mù quáng' là chúng tôi sẽ vá mọi thứ cho bạn. Thành thật, điều đó gây sốc”.

Wolfgang Kandek, giám đốc công nghệ của Qualys, cũng nói khi bảo vệ thông tin ANS.

“Tôi đã luôn nghĩ rằng các khách hàng của chúng tôi đã có quan tâm trong thông tin có trong ANS, nhưng chúng tôi sẽ xem làm thế nào để khắc phục được”, ông nói.

Những người chuyên nghiệp về CNTT trên Twitter cũng đã nghi ngờ về quyết định này.

Microsoft is to stop providing free Patch Tuesday notices to non-premier customers in a move labelled by some as "an assault on IT teams".

The change relates to the Advance Notification Service (ANS) that provided organisations with information about upcoming Patch Tuesday releases.

ANS gave businesses the chance to assess how the updates could affect their systems, and stop any update that could cause problems.

However, Chris Betz, senior director of Microsoft's Security Response Center, said in a blog post that the company believes the majority of customers do not need the ANS information and let the updates happen automatically.

“Customer feedback indicates that many of our large customers no longer use ANS in the same way they did in the past due to optimised testing and deployment methodologies,” he said.

“While some customers still rely on ANS, the vast majority wait for Update Tuesday, or take no action, allowing updates to occur automatically.”

As a result ANS will be made available only to those paying for the privilege.

“We will provide ANS information directly to Premier customers and current organisations involved in our security programmes, and will no longer make this information broadly available through a blog post and web page,” said Betz.

The decision drew anger from some in the security community. Ross Barrett, senior manager of security engineering at Rapid7, was scathing about the decision.

“This is an assault on IT and IT security teams everywhere. Making this change without any lead up time is simply oblivious to the impact this will have in the real world,” he said.

“Microsoft is basically going back to a message of ‘just blindly trust’ that we will patch everything for you. Honestly, it's shocking.”

Wolfgang Kandek, chief technology officer of Qualys, also spoke up in defence of the ANS information.

“I have always thought that our customers were interested in the information contained in ANS, but we will see how that works out,” he said.

IT professionals on Twitter were also sceptical about the decision.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com