企业信息安全面临“云挑战”
2019-02-26 来源:多智时代
如果你是Microsoft、Adobe或任意其它主要的商业软件厂商,千万不要给大陆航空公司的首席信息安全官Tim Stanley添堵,他不是被大量急需修复的bug缠身就是缺乏应对那些问题的资源。
“不要告诉我你下决心修复漏洞的痛苦,我不关心这些。你本身就是干软件行业的,那些代码是你写出来的,出现的问题也应该由你来解决。如果你不能处理好,就不要在那行混饭吃。”
Metasploit的创建者HD Moore在开场白中谈到了从发现bug到补丁发布的时间跨度,微软的高级安全战略家Katie Moussouris认为厂商和研究人员之间保持持续的沟通非常重要。Stanley代表了广大的用户,他们是漏洞披露辩论中常常被忽视的群体。通常这些辩论会的观点都出自研究人员或厂商,但此次2010 RSA大会的小组讨论中Stanley站上了发言台,他是Microsoft和Adobe的一位大客户。Stanley并没有将太多时间浪费在发牢骚上,他敏锐地抨击了一些厂商和研究人员的开场白内容。
“我很欣赏厂商和研究人员之间的友好沟通,但坦白来说,我很不满意他们的做法。我是用户,产品的费用是由我来支付的,我有理由要求漏洞在第一时间内被修复好。我烦透了各层关系带来的延时。微软知道了某个bug,研究人员知道了这个bug,而我是这一软件的最终付费者。什么时候才轮到我弄清楚问题呢?”
Stanley说:“现在的问题出在人们支付了产品的费用,他们需要了解进展的具体情况。”
Stanley引发的这一论调旗帜鲜明,不属于以往的任何常规讨论主题:厂商分类和bug补丁修复的优先次序,零日漏洞如何影响补丁周期,以及回归测试和补丁的稳定性。
例如,Moore称漏洞披露问责有误——责任在厂商。研究人员受惠于厂商,他们会将bug通告给厂商,再由厂商决定这一发现何时公开。“如果你有证据证明外界已发生相应的漏洞攻击,而厂商还没有发布补丁来进行修复,这种情况下是厂商还是你不负责任没有上报呢?”
Adobe的产品安全和隐私主管Brad Arkin称,外界发出的有关其Flash and Reader产品的bug会被列入较高的优先级。Arkin说他的团队会首先试图再现问题情况,并基于问题细节公开的程度确定它给用户带来的风险级别。
Arkin说:“如果漏洞的详情已完全公开,补丁修复就要以更快的速度完成。我们会努力将漏洞范围缩小,但这种情况下的成本会更高。我们随后会修复其他的bug。”
Katie Moussouris称微软采取的也是类似的方式。
“当研究人员报告某一漏洞时,我们并不一定会调动所有资源来应对这一漏洞。举个例子,如果外界发现微软出现了严重漏洞,但我们之前发现的内部漏洞有可能比这一漏洞的优先级更高,更容易被攻击。厂商需要向研究人员表示其正在解决他们提出的问题,但发现了一些回归测试或变种,需要优先处理其他一些问题。”
微软的安全开发生命周期(SDL)在很多方面已成为将安全引进软件设计和测试的行业标准。Windows安全已收紧了操作系统的连续迭代,而且其例行补丁发布已简化了全球IT部门规划。Moussouris说,微软过去那段基本上将QA测试外包给客户的安全更新历程已一去不复返了。
Moussouris对Stanley说:“有些更新一次又一次地发布出来是因为它们打破了共同的安装环境,你不关心可能由此引发的资源分配难点,但我可以肯定你会关心你系统的稳定性。”
在不久的将来,云计算一定会彻底走入我们的生活,有兴趣入行未来前沿产业的朋友,可以收藏云计算,及时获取人工智能、大数据、云计算和物联网的前沿资讯和基础知识,让我们一起携手,引领人工智能的未来!
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。