澳大利亚更新了其针对组织的网络风险缓解指南，其中包括应用关键补丁和限制管理权限的时间表。

根据澳大利亚信号局(ASD)的说法，这些调整是该国基本八个成熟度模型年度更新的一部分，该模型于2017年6月首次推出，旨在指导企业保护其互联网连接的IT网络免受常见的网络威胁。这些更新是基于来自威胁情报和渗透测试的见解、对Essential Eight实施的评估以及来自本地和全球公共和私营部门的反馈。

ASD表示，最新版本还包括采用“防网络钓鱼”的多因素身份验证、云服务管理以及面向互联网的基础设施的事件检测和响应。该情报机构隶属于联邦政府国防部，负责监督与国家电信、数据和通信网络有关的信息安全和信号情报。

Essential Eight成熟度模型提供了一个基线，旨在使攻击者更难以破坏系统。该模型涵盖了8个关键领域，例如应用程序控制、Microsoft Office宏限制和用户应用程序加固。

ASD表示，通过最新的更新，我们更加关注高优先级的补丁实例，并补充说，这是基于对恶意行为者利用漏洞所需平均时间的评估而实施的。

当供应商评估一个漏洞为关键性质时，例如它能够绕过特权访问的身份验证或在没有用户交互的情况下促进远程代码执行，组织应在48小时内修补或减轻漏洞。ASD指出，这一变化适用于1至3级成熟度。

在Essential Eight模型下，一级成熟度通常适用于中小型企业，二级成熟度适用于大型企业。第三级成熟度级别适用于在高威胁环境中运行的关键基础设施提供商和组织。

ASD解释说:“在提供优先补丁指导的过程中，我们越来越重视那些经常与互联网上不受信任的内容交互的应用程序的补丁，比如办公生产力套件、网页浏览器、电子邮件客户端、PDF软件和安全软件。”

这就需要缩短此类应用程序的修补时间，从一个月缩短到两周。该政府机构表示，这些应用程序的漏洞扫描活动也已从至少两周更新到至少每周更新一次。这一变化影响了一级成熟度的公司。

为了帮助企业应对这些变化，不太重要的设备(如工作站和非面向互联网的服务器)的操作系统补丁时间已从两周内延长至一个月内。针对此类设备的漏洞扫描活动也已从至少每周一次修改为至少两周一次。这一变化将影响成熟度级别为2级和3级的公司。

此外，还应用了各种需求来解决缺乏与授予和控制对数据存储库的特权访问相关的治理流程的问题。

资讯科技署表示:“有关禁止特权帐户上网的规定，已审慎修订，以支持对云端服务的管理。”“这些账户需要明确标识，并严格限制在必要的权限和职责范围内。”

这一变化影响了从1级到3级成熟度级别的公司。

例如，在对管理特权的限制下，处于二级成熟度的公司应该添加一个需求，以验证对数据存储库的特权访问的首次请求。它们还应该在12个月后禁用对数据存储库的特权访问，除非重新验证。