마크 밀러는 보안 블로그를 통해서 몇가지 변화가 있을 것이라는 것을 4월에 이야기한 적이 있는데, 이번달에는 6월에 사전 예고 서비스와 보안 게시판을 변화시킬 것에 대하여 계획을 하고 있다고 합니다.
보안 패치의 경우 사전 예고 서비스 [Advanced Notification Service (ANS)]를 통해서 목요일 배포할 보안 패치에 대하여 화요일배포할 패치 내용을 통보하고 있는데, 패치에 대한 수에 대한 부분만 공유하고 있지만, 6월 7일 부터는 자세한 내용을 게시판을 통해 공지할 예정이라고 합니다.
매달 둘째주 화요일에 보안게시판에 요약 페이지가 세부적으로 올라갈 예정이며, 5월의 보안 정리에 대한 참조 예제는
http://www.microsoft.com/technet/security/bulletin/ms07-may.mspx 여기서 확인할 수 있다고 하네요.
아울러 보안 게시판 다자인도 변경이 될 예정이라고 합니다.
Hello everyone,
This is Mark Miller again to let you know about some additional changes we are making this month. In April, we announced changes to our blog site. This month we are announcing changes to our Advanced Notification Service (ANS) as well as some changes we are planning to make to the format of our security bulletins in June.
ANS changes:
As you know, the Thursday before Tuesday’s normal security update release, we send out an advanced notification letting you know what platforms are going to be impacted by the security updates and the maximum severity rating. The information is currently grouped and rolled up by platform (Windows, Office, etc.). This was implemented based on customer feedback that more time and information was needed to plan for testing and deployment. We’ve received positive feedback on the ANS, but customers have also told us that additional information would be even more helpful. Based on that, we are incorporating additional detail about the upcoming security updates. We plan to implement this change with June’s ANS release on Thursday, June 7.
The new ANS is essentially a subset of the monthly bulletin summary we publish the second Tuesday of each month. As such, the ANS will now be published at the same URL used for that months security bulletin summary page (example below). For those not familiar with the monthly bulletin summary, it is a high level overview of the bulletins released for a given month that includes a list of bulletins, severity rating, impact, affected software, download locations for the updates, general deployment information and a single list of acknowledgements thanking those who have practiced responsible disclosure in reporting the vulnerabilities the bulletins address. Moving forward, the ANS subset will contain the following for each bulletin and not be grouped by just the platform:
· Maximum Severity Rating
· Impact of Vulnerability
· Detection information
· Affected Software
Once the security bulletins are released on the second Tuesday of the month, the bulletin summary page will be updated with complete details. For reference, the bulletin summary for May can be found here: http://www.microsoft.com/technet/security/bulletin/ms07-may.mspx.
The old location of the ANS will now become a simple landing page describing the service and the monthly bulletin summary page will serve as the ANS. For June, the ANS will be located here when its published on the 7th at 10:00 AM Pacific time: http://www.microsoft.com/technet/security/Bulletin/ms07-jun.mspx
As always, you can subscribe to the ANS and other alerts here: http://www.microsoft.com/technet/security/bulletin/notify.mspx.
Security Bulletin Design Changes:
We’ve also spent a lot of time talking to customers about the layout of our security bulletins and how we can improve them. Customers very clearly pointed out that they were satisfied with the level of technical detail in the bulletins but needed to be able to more quickly determine the severity of the bulletin and its applicability to their environment. With that in mind, we set out to accomplish the following goals:
· Move all applicable decision making information to the top of the page
· Create a table of affected products (instead of a list) with links to the download location of the updates
· Change the section titles to be more representative of the content under them
· Re-arrange content to areas that make them more intuitive to find
· Reduce some of the repetitive content in the bulletin
Rather than try to fully describe the changes to the bulletin format, we have provided a sample of an actual bulletin (MS07-016 Cumulative Security Update for Internet Explorer (928090)) for you to preview:
http://www.microsoft.com/technet/security/bulletin/ms07-016-example-of-new-layout.mspx
We hope that these changes make your decision making process more efficient. We will continue to listen to your feedback and implement additional changes as needed.
Thanks! We appreciate all the feedback!
*This posting is provided "AS IS" with no warranties, and confers no rights.*
아래 내용은 보안 패치가 나오는 과정에 대하여 정리한 자료가 있어서 추가 해 봅니다.
보안 패치는 두가지 과정에 걸쳐서 나온다고 볼 수 있군요.
Microsoft 의 제품군의 보안에 대한 관심이 있으신 분들은 참고하시길 바랍니다.
참조 : The Microsoft Security Response Center (MSRC)
다음은 MS 의 보안 대응 센터에서 진행되는 일련이 과정을 MS 사이트에서 가져온 내용입니다.
MSRC(Microsoft 보안 대응 센터)
|
MSRC(Microsoft 보안 대응 센터)는 보안 취약점과 보안 문제를 관리하고 해결하기 위한 세계 수준의 조직입니다. MSRC는 최신 기술과 프로세스를 활용하여 고품질 보안 업데이트와 도구를 분석, 개발 및 배달하고 보안 취약점과 보안 문제의 위험 요소를 고객이 최소화하는 데 유용한 예방 지침을 제공합니다.
보안 취약점 관리
MSRC의 최우선 업무는 가능한 최고 품질의 보안 업데이트를 고객에게 제공하는 것 입니다. MSRC의 개선되고 단순화된 매월 발표 프로세스를 통해 시스템을 효과적, 예방적으로 보다 쉽게 관리할 수 있는 고급 자료와 광범위한 지침을 고객에게 제공합니다.
취약점 모니터링
MSRC는 보안 뉴스그룹과 secure@microsoft.com을 통해 취합되는 잠재적인 보안 문제를 1년 365일 24시간 주시하고 있습니다. 보안 연구원들이 MSRC에 보안 취약점을 보고하여 업계 파트너와 공동작업으로 위협을 식별하고 해결 방법을 찾을 수 있도록 MSRC는 권장하고 있습니다.
Microsoft는 다음과 같이 보안 프로세스를 개선했습니다.
| • |
보안 권고 | ||||||
| • |
미리 예정된 월간 보안 업데이트 발표 일정
|
| • |
고급 자료, 도구 및 지침:
|
발표 이전 단계
MSRC에서 보안 취약점에 대한 보고를 접수하면 다음과 같은 프로세스가 시작됩니다.
| • |
선별. 고객에 대한 가능한 영향을 확인하기 위해 모든 보고를 평가하고 우선 순위를 부여합니다. |
| • |
수정 조치 제작 및 테스트. MSRC와 제품팀은 취약점의 영향을 조사하고 수정 조치를 제작하여 엄격하고 광범위한 여러 단계의 테스트를 거칩니다. |
| • |
콘텐츠 작성. 수정되는 취약점의 설명, 가능한 대안 및 완화 조치 그리고 FAQ를 포함한 보안 공지가 준비됩니다. |
발표 당일(둘째 화요일)
매월 1회 발표되는 보안 업데이트는 Windows Update, 자동 업데이트 또는 Microsoft 다운로드 센터를 통해 제공됩니다. 또한 Microsoft는 기업 고객이 보안 업데이트를 발견하고 배포하는 데 유용한 다양한 무료 도구를 다음과 같이 제공합니다.
| • |
MBSA(Microsoft Baseline Security Analyzer). |
| • |
EST(Enterprise Scanning Tool). |
| • |
SUS(Software Update Services). |
고객 및 파트너에 알림을 보내고, 보안 뉴스그룹에도 게시합니다.
발표 이후 단계
지속적인 공지 유지 관리와 더불어, 발표 이후 기간에 MSRC는 다음과 같은 내용을 제공합니다.
| • |
보안 공지 웹캐스트(발표 후 수요일, 오전 11시 태평양 시간) . 예방 보안 지침, 교육 및 훈련을 고객에게 제공하는 지속적인 월간 웹 캐스트 |
| • |
기술 지원 서비스 및 Windows Update를 통한 공지 질문 및 고객 문제 모니터링 |
보안 문제에 대한 대응
보안 취약점 관리 외에도 MSRC는 보안 문제에 대한 신속하고 능동적인 조사와 분석에 있어서 세계 최고 수준의 대응 프로세스를 가지고 있습니다. MSRC는 Microsoft와 전세계 지사의 팀을 동원하여 보안 위협을 감시하고 긴급한 보안 문제가 고객을 위협할 경우 정보, 지침, 완화 요소 및 도구를 제공합니다.
알림 및 리소스 동원
보안 문제가 가시화되면 MSRC가 신속하게 소집되어 상황의 심각성을 평가하고 전세계의 Microsoft 리소스를 동원하여 신속하고 철저하게 문제를 파악합니다. MSRC는 보안 대응 팀과 지원 그룹을 동원하여 2개 주요 그룹(긴급 엔지니어링 팀, 긴급 응대팀)을 구성합니다.
상황 평가 및 안정화
MSRC가 이끄는 엔지니어링 팀과 통신 팀은 공동으로 현재 상황과 사용 가능한 기술 정보를 평가하고 해결 작업에 착수합니다. 두 팀은 고객, 파트너, 언론뿐만 아니라 Microsoft의 현장 영업 및 지원 부서에도 권고 지침을 제공하기 위해 협력합니다. 새로운 정보가 입수될 때마다 이 초기 지침은 계속 업데이트되고 고객이 스스로 시스템을 보호하는 데 유용한 대안과 단계를 포함할 수 있습니다.
문제 해결 및 학습 검토
MSRC는 정상적인 운영 상태를 회복하기 위한 적절한 도구와 정보를 가능한 신속하게 제공합니다. 보안 업데이트, 도구 또는 수정 조치와 같이 적절한 해결 방법이 고객에게 제공되면 MSRC는 Microsoft 웹 사이트, Microsoft 영업 및 기술 지원 서비스뿐만 아니라 업계 선두의 파트너에 이러한 정보를 공개할 책임이 있습니다. 문제가 완전히 해결되면 내부 프로세스에 따라 이 과정에서 학습한 내용을 검토합니다.
스스로 할 수 있는 방법
| • |
최신 보안 업데이트 유지:
| ||||||
| • |
보안 업데이트 다운로드 및 배포: http://update.microsoft.com/microsoftupdate/ 및 www.microsoft.com/downloads/search.aspx?displaylang=ko | ||||||
| • |
Microsoft 보안 권고 검토: www.microsoft.com/korea/technet/security/advisory/ | ||||||
| • |
Microsoft 보안 웹 사이트를 방문하여 보안 문제 관련 최신 정보 참고: www.microsoft.com/korea/security/ |
| • |
보안 공지 검색: www.microsoft.com/korea/technet/security/current.asp |
| • |
PC를 보호하기 위한 3단계 작업 수행: www.microsoft.com/korea/protect/ |
| • |
Windows 악성 소프트웨어 제거 도구 실행: www.microsoft.com/korea/security/malwareremove/ |
| • |
Microsoft Windows AntiSpyware 다운로드 및 설치: www.microsoft.com/korea/athome/security/spyware/software/about.mspx |
| • |
MSRC에 대한 자세한 내용은 www.microsoft.com/korea/security/msrc를 방문하십시오. |
| • |
보안 공지 웹캐스트 등록: www.microsoft.com/technet/security/bulletin/summary.mspx (영문) |
| • |
MSRC 블로그에서 최신 정보 보기: http://blogs.technet.com/msrc (영문) |
