vrijdag 14 april 2017

Microsoft frustreert admins met schrappen securitybulletins

Microsoft heeft deze week de securitybulletins definitief geschrapt. De bulletins hebben tientallen jaren lang elke maand beschreven hoe het staat met kwetsbaarheden en welke patches er beschikbaar waren. Dat was vooral handig voor admins die verantwoordelijk zijn voor het welzijn van de bedrijfs-IT.

Opnieuw leren lopen, rennen en fietsen

Een patch-expert verhaalt over de verandering die de actie van Microsoft voor zijn team betekent. "Het is alsof je opnieuw moet leren lopen, rennen en fietsen, en dat allemaal tegelijkertijd", zegt Chris Goettl, productmanager bij patchmanagementleverancier Ivanti.
De definitieve keuze voor een bulletinloze Patch Tuesday beëindigt een maandenlange periode waarin Microsoft al dreigde de bulletins te schrappen, dat op Valentijnsdag ook wilde doen maar daar toen op het laatste moment van afzag.

Nieuwe database

Microsoft kondigde het einde van de bulletins al aan in november, met de melding dat het bulletin op Patch Tuesday van januari de laatste zou zijn. Het nieuwe proces rond Patch Tuesday zou ingaan op Valentijnsdag waarbij een doorzoekbare database met ondersteuningsdocumentatie de bulletins zou vervangen.
De database is toegankelijk via de Security Update Guide-portal (SUG). De documentatie kan worden gerangschikt en gefilterd op de betrokken software, de uitgiftedatum van de patch, het CVE-nummer en/of het KB-nummer van het ondersteuningsdocument.

Wennen aan verandering

De op het web gepubliceerde bulltins zijn al minstens vanaf 1998 onderdeel geweest van Microsofts patchbeleid. Deze bulltins waren kwalitatief goed en golden als voorbeeld voor andere softwareleveranciers.
In februari schrapte MIcrosoft de Patch Tuesday voor die maand, slechts enkele uren voordat de beveiligingsupdates de klanten zouden bereiken, waardoor het afscheid van de bulletins een beetje in het water vielen. Microsoft hield in de maanden erna de bulletins toch in stand, waarbij gezegd werd dat dat was om gebruikers meer tijd te gunnen om aan de verandering te wennen.
Maar deze dinsdag zond Microsoft zijn cumulatieve beveiligingsupdates de wereld in voor Windows, Internet Explorer, Office en andere producten, maar zonder de bijbehorende vertrouwde bulletins.
Goetti blijkt niet erg onder de indruk van het SUG-alternatief. Hij zegt dat de SUG-portal "enkele goede mogelijkheden" biedt, maar dat hij betwijfelt of het dezelfde kwantiteit en kwaliteit aan informatie kan leveren als de bulletins deden, zonder dat de admins daarvoor meer werk moeten verzetten. "Ik had gehoopt dat we dezelfde niveau aan informatie zouden krijgen."

Spitten kost tijd

Het meeste van de informatie uit eerdere bulletins blijft beschikbaar via SUG, zo blijkt als je ploetert door de enorme stapel documenten, zegt Goetti, maar de toegankelijkheid is beduidend anders.
"Deze maand zijn er 46 kwetsbaarheden gedicht door Microsoft", legt Goetti uit. "Het kostte me zo'n vier uur om in SUG uit te vinden wat Microsoft heeft gedaan, wat normaal gesproken te vinden is in de bulletins. Vorige maand, met 136 kwetsbaarheden, kostte het me maar twee uur. Dus met de bulletins was ik in staat drie maal zoveel informatie tot me te nemen in de helft van de tijd."
Goetti houdt Microsoft verantwoordelijk voor de extra tijd die het IT- en security-admins gaat kosten om door de informatie te ploeteren. Omdat de basis van de database ligt in de CVE's (de identificatienummers voor elke aparte kwetsbaarheid), moest hij flink wat pagina's openen om de informatie te krijgen over kwetsbaarheden in Windows 10 die door Microsoft waren gepatcht.

Teleurstellend

"Normaal gesproken ga je naar een bulletinpagina, zeg voor Windows 10, en daar staat een lijst met kwetsbaarheden die zijn gedicht en de gerelateerde KB-pagina's, allemaal op één plek. Maar deze maand, omdat er 26 gepatchte kwetsbaarheden waren in de cumulatieve update voor Windows 10, moest ik 26 webpagina's openen. Ik moest elke losse CVE-pagina openen."
"Dus dat was wel een beetje teleurstellend", zegt hij. Goetti blijft met zijn mond vol tanden staan bij één vraag. "Ik weet niet waarom het voor hun gevoel logisch is om te stoppen met de bulletins", zegt hij als hem wordt gevraagd te speculeren over Microsofts motivatie voor deze verandering. Eerder deze week leidde Goetti een gratis webinar over Microsofts beveiligingsupdates van deze maand en hij zegt dat veel participanten het met hem eens waren.

Waarom eigenlijk?

"Ze vroegen zich allemaal af waarom Microsoft het moeilijker maakt om informatie te vinden." Hij hoopt dat Microsoft luistert naar zijn klanten en veranderingen aanbrengt in SUG. "Er moeten wat aanpassingen worden gedaan. Dit kan het eindresultaat nog niet zijn."
Voorlopig heeft Ivanti, Gioetti's werkgever, gekozen om - wat hij noemt - kunstmatige bulletins te maken op basis van de informatie in SUG. Deze zijn bedoeld voor de klanten van Ivanti die het patchmanagementsysteem Shavlik gebruiken. Shavlik is een van de firma's die door LANDesk is overgenomen, en LANDesk zelf heeft zich in januari hernoemd tot Ivanti.

Geen opmerkingen:

Een reactie posten