9 октября 2003 года Microsoft анонсировала новый процесс установки обновлений, который должен был послужить толчком к значительным изменениям в сообществе информационной безопасности. Десять лет назад эта программа была анонсирована в пресс-релизе, обещавшем «улучшенные процессы управления обновлением, политики и технологии, помогающие клиентам оставаться обновленными и защищенными», «глобальные образовательные программы для обеспечения лучшей осведомленности и инструменты информационной безопасности».

В пресс-релизе генеральный директор компании Стив Балмер сказал: «Наша задача проста: сделать наших клиентов защищенными и обеспечить им безопасность. Мы обязаны защищать наших клиентов от нарастающих волн криминальных атак».

Те из нас, кто работает в отрасли информационной безопасности или отвечает за корпоративную информационную безопасность, заметили, что это прямой ответ на знаменитую памятку Trustworthy Computing memo, написанную Биллом Гейтсом в январе 2002-го. Было очевидно, что Microsoft оказалась перед серьезной дилеммой. В ее ПО зияли дыры, негативно влияющие на защищенность, приватность и работоспособность ее клиентов. В корпоративном IT Microsoft быстро окрестили «необходимым злом». IT-руководителям пришлось использовать ПО Microsoft для своего бизнеса ценой серьезных рисков.

Вы можете любить или не любить Microsoft, но начатые 10 лет назад инициативы вызвали большую волну изменений в нашей отрасли информационной безопасности.

Для начала Microsoft доказала сообществу информационной безопасности, что общение — краеугольный камень в отношениях с поставщиком. Никто не любит признавать наличие проблем с безопасностью. Microsoft не только признала наличие проблем у себя в этой области, но и начала общаться со своими клиентами и со всеми пользователями компьютеров. Microsoft начала вести блоги по проблематике информационной безопасности и приступила к мощным образовательным кампаниям, нацеленным на пользователей.

Microsoft продемонстрировала, что общение и отношения должны быть двусторонними. В итоге она доросла до того, что вошла в одно сообщество с людьми, которые искали и опубликовывали дыры в безопасности в ПО Microsoft. Сегодня публичное оглашение серьезной дыры у Microsoft скорее исключение.

Кроме того, планирование ресурсов — критический фактор в мире промышленного IT. Не слишком приятно быть затратным центром в компании, но IT традиционно недофинансируется и недооценивается. Что делать промышленному IT-руководителю, когда его основной поставщик ПО обрушивает на него патч, закрывающий критическую проблему, которая может иметь фатальные для бизнеса последствия? Исторически сложилось, да и сейчас так же, что многие текущие проекты приходится бросать для быстрого перенаправления ресурсов на внедрение внезапно выпущенного критического патча. Жизнь в мире постоянных прерываний сказывается на способности завершения любых запланированных проектов.

С новым регулярным выпуском патчей Microsoft промышленное IT может полагаться на расписание и направлять ресурсы соответственно. Ежемесячный цикл обновлений вскоре стал известен как «вторник патчей». Мы знаем, что сегодня четверг перед вторником патчей, так что у нас есть немалая доля информации о том, чего ожидать в следующую неделю.

Microsoft и другими способами доказала ценность согласованных действий. К примеру, Microsoft сделала смелый шаг по присвоению рейтинга критичности проблемы и сделала эти рейтинги публичными. И даже текстовый формат бюллетеня Microsoft по информационной безопасности был согласован, и профессионалы-безопасники могут на него положиться. Безопасники любят повторяемые и предсказуемые системы. Именно это Microsoft и сделала.

Троекратное «ура» вторнику патчей! Это второй вторник каждого месяца, который мы любим и который мы ненавидим. Десять лет назад инициатива вторника патчей начала реально помогать всем клиентам Microsoft, облегчая поддержание систем в обновленном и безопасном состоянии. В то время идея смотрелась такой чуждой, но с тех пор получила много последователей в лице других поставщиков, таких как Cisco, Adobe и Oracle. Потратьте пять минут и подумайте, где бы вы были сегодня без этого финта Microsoft 10 лет назад.

Эндрю Стормс занимает пост DevOps-директора в CloudPassage

Категории: Другие темы, Кибероборона, Уязвимости