Vstup do roku 2024 s lehkou sestavou od Microsoftu a aktualizacemi třetích stran od Googlu a Mozilly a příští týden můžete také očekávat čtvrtletní aktualizaci od Oracle. Společnost Microsoft vyřešila 49 nových CVE a sedm CVE z roku 2023, aby rozšířila dotčené produkty o další aktualizace. V tuto chvíli žádná veřejná odhalení nebo zneužití zpráv, takže vše funguje jako obvykle. Dva kritické CVE v aktualizaci operačního systému tento měsíc představují nejvyšší riziko. Nechte si věci vyhodnotit a otestovat jako součást běžného plánu údržby.
Aktualizace tohoto měsíce se týkají OS Windows, Office 365 a SharePoint, Net Framework, SQL Server a Visual Studio.
Aktualizace prohlížečů Google Chrome, Mozilla Firefox a Thunderbird a prohlížeče Microsoft Edge Chromium jsou součástí sestavy aktualizací.
Sledujte čtvrtletní vydání CPU společnosti Oracle v úterý 16. ledna. To bude zahrnovat mnoho aktualizací Oracle, ale také odstartuje dominový efekt na všech frameworkech Java, jako je RedHat OpenJDK, Amazon Corretto, Azul Zulu, Eclipse Adoptium, Adopt OpenJDK a další.
Sedm CVE, které byly aktualizovány tento měsíc, ovlivňuje několik edic Microsoft Visual Studio. CVE-2023-29356, CVE-2023-32025, CVE-2023-32026, CVE-2023-32027, CVE-2023-32028, CVE-2023-29349 a CVE-2023-36049 mohou potenciálně překvapit, že se objeví některé z nich. skeny zranitelnosti tento měsíc. CVE byly rozšířeny tak, aby zahrnovaly verzi sady Visual Studio, která byla ovlivněna.
Změna vaší strategie nápravy zranitelnosti v roce 2024
Při pohledu do roku 2024 většina organizací přijala strategii měsíční údržby a prioritních aktualizací. To nabízí mnoho výhod, ale vyžaduje určité schopnosti, aby byly účinné. Největší hodnotou je přesunout konverzaci vaší organizace od těžkopádného a nudného tématu záplatování na téma snížení vystavení zranitelnosti. Pro ty z vás, kteří běží na běžícím pásu s nepřetržitou sanací, se to nemusí zdát jako velký rozdíl, ale z obchodního hlediska se zamyslete nad tím, jak to rámuje konverzaci.
Výhody
- Nesnažte se řešit obrovské množství aktualizací. Zaměřte se na riziko pro podnikání a rychle toto riziko zmírněte. Tím se konverzace a dokonce i KPI, které měříte, posouvají tak, aby byly velmi zaměřeny na riziko.
- Vytvořte prioritní aktualizační kanál s lehčím procesem, ale přísnými pravidly pro zahrnutí aktualizace. Časový rámec se pohybuje podle toho, jak agresivní chce organizace dosáhnout. Organizace, které přijímají tento prioritní aktualizační kanál, přidávají do svého procesu nápravy týdenní denní plán nápravy.
- Stanovte si dobře definovaná kritéria pro stanovení hranic a omezte potřebu náročného schvalovacího procesu nebo dohledu. Aktualizace může spadat do prioritní aktualizace pouze v případě, že obsahuje zranitelnost nultého dne nebo známou zneužitou zranitelnost.
- Díky tomuto posunu ve strategii jste efektivně zkrátili dobu působení vaší organizace na dny nebo dokonce hodiny, oproti týdnům až měsíci nebo více.
Požadavky
- Shoda mezi výkonnými pracovníky při nákupu, zejména mezi rolemi CIO a CISO v rámci organizace.
- Celopodniková odpovědnost. IT a zabezpečení mohou provádět každodenní činnosti, ale vlastníci obchodních linií jsou odpovědní za nápravu zranitelnosti ve svých oblastech.
- Jasné a dobře definované výsledky a KPI pro měření úspěchu, včetně odpovědnosti. Vykazování na více úrovních, včetně celé organizace a podle obchodní jednotky, služby nebo regionu (v závislosti na organizaci).
- Správné nástroje pro správu celého procesu, včetně skenování zranitelnosti, inteligence rizik, stanovení priorit, zpracování výjimek a pracovních postupů pro nápravu oprav, integrace do nástrojů DevOps a směrování dalších lístků ke správným týmům atd.
Zdroj: Ivanti