引言：由于某些公司在补丁测试过程中会在互联网论坛上询问问题，因而需要一份NIST指南。

为了创建一份指导企业应用安全补丁的NIST指南，微软（Microsoft）和美国国家标准与技术研究院（US National Institute of Standard and Technology, NIST）业已携手合作。

这两个组织正邀请其他对此感兴趣的厂商、公司或个人为这份新的指南提供内容。

这项工作将凝结成一份NIST特别出版物1800系列[1]实务指南，系统管理员可采用该指南组织或优化公司内部漏洞修复步骤。

因有着NIST这个负责制定行业指南的美国政府组织的支持，该指南有望产生巨大的影响。

根源：2017勒索软件爆发

Microsoft-NIST的这项联合合作关系的工作开始于2018年，是名为关键网络安全卫生：修复企业项目（Critical Cybersecurity Hygiene: Patching the Enterprise Project）的项目的一部分。

微软在该工作的启动方面发挥了关键的作用。该公司称，2017年三个勒索软件爆发后，也就是WannaCry，NotPetya和Bad Rabbit，它开始调查公司如何修复计算机漏洞。

微软表示，即便能获取安全更新，许多遭到攻击的组织也未能安装补丁。这促使微软开始调查为何公司不修复系统。

“这次调查之旅的关键部分是坐下来直接听取我们的客户面临的挑战，”微软网络安全解决方案事业部的首席网络安全架构师马克·西默斯（Mark Simos）说到。

“微软现场拜访了大量的客户（我个人也参加了其中数次拜访）分享我们了解到的事物…并且和客户进行了一些坦诚布公的讨论，去了解为什么组织没有应用安全补丁。” 西默斯说。

不同的公司用不同的方式处理漏洞修复

这些会谈揭示了，不同的组织处理漏洞修复的方式大有差别，导致延迟应用安全更新。

在这些会谈中，客户提起的主要原因之一是公司没有适当的补丁测试规程，为了确保漏洞或崩溃不会造成生产系统停机，许多公司推迟修复漏洞。

西默斯说，在某些组织中，测试补丁的方法“只是在某个在线论坛上询问是否有人采用了该补丁产生了问题。”

并且，一些公司还表示，他们也不知道应该以多快的速度应用补丁，只能是基于自己的标准解释和评估安全更新的严重性。

需要NIST核准的指南

结果，微软得出结论，为了规范企业环境中的漏洞修复方法，需要一个行业范围的标准。

作为联合项目的一部分，微软和NIST表示，他们计划研究“如何运用商业和开源工具帮助修复一般的IT系统最具有挑战性的方面，包括系统特性描述和优先级划分，补丁测试，和补丁安装跟踪及验证。”

“这些工具将附带可执行的规定性指南，用以指导创建整个漏洞修复生命周期内的策略和方法。”NIST说。

该指南何时完稿目前没有时间线；不过，NIST指南能得到行业内的大公司的支持甚为罕见，因此有望得到快速推进。

原文地址：

https://www.zdnet.com/article/microsoft-and-nist-partner-to-create-enterprise-patching-guide/

注[1]： NIST特别出版物1800系列文档是一系列面向网络安全社区的实用的、可用的网络安全解决方案。