澳大利亚要求企业更快地应用关键安全补丁

澳大利亚政府敦促企业更快地应用重要的安全补丁

澳大利亚已更新其组织的网络风险缓解指南，其中包括应用关键补丁的时间表和对管理权限的限制。

这些调整是该国《八项基本成熟模型》的年度更新的一部分，该模型于2017年6月首次引入，旨在指导企业保护其与互联网连接的IT网络免受常见网络威胁的侵害。该更新是基于来自威胁情报和渗透测试的见解，对《八项基本成熟模型》的实施进行评估，以及来自公共部门和私营部门的反馈，包括本地和全球。

澳大利亚通讯局（ASD）表示，最新修订还包括采用“防钓鱼”的多因素身份验证、云服务管理以及针对与互联网直接相关的基础设施的事件检测和响应。ASD是一个情报机构，隶属于联邦政府国防部，在澳大利亚电信、数据和通信网络的信息安全和信号情报方面担当监督职责。

《八项基本成熟模型》提供了一个基线，旨在增加对系统的攻击者的干扰。该模型涵盖了包括应用程序控制、Microsoft办公室宏限制和用户应用程序加固在内的八个关键领域。

根据ASD的说法，随着最新更新，更加注重优先处理补丁的情况。ASD补充说，这一变化是基于对恶意行为者利用漏洞所需时间的评估而实施的。

当供应商将漏洞评估为具有重要性时，例如其能够绕过特权访问进行身份验证或在无需用户交互的情况下执行远程代码，组织应在48小时内修补或减轻漏洞。ASD指出，这个变化适用于一到三的成熟级别。

在八项基本成熟模型中，一级成熟通常适用于中小型企业，而二级成熟适用于大型企业。三级成熟适用于重要基础设施提供商和在高威胁环境中运营的组织。

ASD解释道：“为了提供优先处理补丁的指导，我们更加重视处理那些经常与来自互联网的不受信任内容进行交互的应用程序，如办公套件、网络浏览器、电子邮件客户端、PDF软件和安全软件。”

这导致这些应用程序的补丁时间从一个月缩短为两周。对这些应用程序的漏洞扫描活动也从至少每两周进行更新为至少每周进行更新，政府机构表示。这一变化将影响到一级成熟的公司。

为了帮助公司满足这些变化，对于较不重要的设备（如工作站和非与互联网直接相关的服务器）的操作系统的补丁时间范围已从两周延长到一个月。对于这些设备的漏洞扫描活动也从至少每周更新为至少每两周更新。这一变化将影响到二级和三级成熟的公司。

此外，还有各种要求用于解决与授予和控制对数据存储库的特权访问相关的治理流程缺失的问题。

“对特权帐户访问互联网的要求已经以适度的方式进行了修改，以支持云服务的管理。”ASD表示。“这些帐户需要进行明确标识，并严格限制其所需的访问和任务。”

这一变化将影响到一级到三级成熟的公司。

在对行政权限进行限制的情况下，例如，二级成熟度的公司应该增加一个条件，即对首次请求特权访问数据存储库进行验证。他们还应该在12个月后禁用对数据存储库的特权访问，除非重新验证。