Kritiek op Microsoft wegens schrappen ANS update-informatie
De beslissing van Microsoft om informatie over aankomende beveiligingsupdates niet meer vooraf openbaar te maken heeft voor kritiek van IT-experts gezorgd. De softwaregigant liet donderdag weten dat het met de Microsoft Security Bulletin Advance Notification Service (ANS) ging stoppen.
Via de Service gaf Microsoft op de vrijdag voor patchdinsdag een overzicht van de updates die de dinsdag erna zouden verschijnen. Het ging dan om het aantal te verschijnen updates, de ernst van de verholpen kwetsbaarheden en de getroffen software. Op deze manier konden systeembeheerders en organisaties alvast bepalen welke updates de hoogste prioriteit moesten krijgen.
Verschillende media hebben het nieuws van Microsoft verkeerd geïnterpreteerd en laten weten dat Microsoft geen informatie meer over beveiligingsupdates geeft. Dit is onjuist. Elke tweede dinsdag geeft Microsoft nog steeds een overzicht van beschikbare updates en verholpen kwetsbaarheden. Alleen de vooraankondiging wordt niet meer openbaar gemaakt. Die zal voortaan alleen met "Premier" klanten worden gedeeld.
Informatie
Volgens de softwaregigant zouden met name grote bedrijven de informatie van ANS anders gebruiken dan voorheen en de prioriteit van de updates op andere manieren bepalen. Het Internet Storm Center laat weten dat nog veel experts en security professionals bij het plannen van de updatecyclus naar de ANS-informatie kijken. Beheerders zullen dat proces dan ook nu moeten aanpassen. Informatie over de updates zal namelijk pas bekend worden als de updates zelf verschijnen.
"Slecht idee en verkeerde beslissing om dit voor het publiek te verbergen", zegt één van de critici op Twitter. Een ander merkt op dat het informeren van gebruikers belangrijk is, terwijl weer een ander laat weten dat het beperken van de informatie de veiligheid aantast. Eén iemand vraagt zich echter af of op deze manier aanvallers misschien minder informatie vooraf krijgen. Microsoft heeft zelf nog niet op de ontstane ophef gereageerd. Wel zal de softwaregigant aanstaande dinsdag 13 januari met de eerste beveiligingsupdates van 2015 komen, inclusief alle details en security bulletins die via deze pagina te bekijken zullen zijn.
Premier klanten zullen over het algemeen een DAAS strategie hebben waarbij ze zelf een test en uitrol strategy bepalen.
Het automatische updaten (update Tuesday) bekend voor SOHO is daar niet aan de orde.
Het is onderdeel van een afgesproken service (S voor service).
Dat dit betekent dat je altijd een tijdje achterloopt, ach, de software van deze fabrikant is toch al niet geschikt voor het open internet, dus moet je die toch met allerlei oplapmiddelen en beschermingsmuurtjes tegen omvallen stutten en weersinvloeden beschutten, of liever nog gewoon helemaal van het open internet afhouden.
Maargoed, ik ben dan ook gewend aan een open source wereld waar ik met mijn eigen buildserver private releases voor mijn servers kan maken die wellicht op de officieele release voorlopen. Daar kan eigenlijk geen enkele closed source aan tippen. Dat laatste betekent wel dat ik meer moet doen dan een keuze maken om deze als "kritiek" aangemerkte patch vandaag of morgen te installeren. Ik moet de probleembeschrijving doorgronden en begrijpen welk onderdeel hoe geraakt wordt door dit of dat onderhavige probleem. Voor mij precies wat ik wil, maar die afweging zal niet voor iedereen hetzelfde uitpakken.
Maargoed, wollige woorden versus helemaal niets vertellen voelt toch wel een beetje aan als lood om oud ijzer.
https://www.security.nl/posting/414396/Microsoft+stopt+met+vooraankondiging+beveiligingsupdates
Voor mij niet, als je dat gedaan hebt zul je namelijk doet zul je lezen:
"Consumenten en organisaties die toch nog informatie willen ontvangen worden doorverwezen naar MyBulletins, een gepersonaliseerde patchdienst waarbij gebruikers over een Microsoft-account moeten beschikken en kunnen aangeven welke Microsoft-software ze gebruiken. Vervolgens kan men een overzicht van beschikbare Security Bulletins bekijken. Het gaat hier echter om informatie die pas verschijnt als de beveiligingsupdates verschijnen. "
Er staat nergens iets dat je er voor zou moeten betalen. Voor de compleetheid van je opmerking je kunt het zelf uit proberen via: http://mybulletins.technet.microsoft.com/
Misschien wel beter om niet van te voren te veel weggeven voor de bad-guys. Als het nog niet aangepast is en je gaat vertellen wat je gaat doenm da geef je ze meteen de voorsprong om nog wat uit te halen.
Voor privé apparaten ben ik er niet echt in geinteresseerd als het maar bij blijft. Voor de professionele omgevingen waar ik mee te maken heb, wil ik het wel weten. Daar is veel meer te doen en in de gaten te houden. Zijn er ook andere maatregelen actief. Dat is het een heel collectief van specialismen. Kan je als eenling niet aan tippen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.