|
【PConline 资讯】这几天相信大家都听说了,一个名为CVE-2014-0160的漏洞(即“Heartbleed”)已经对超级流行的开源OpenSSL软件包造成了严重威胁,Heartbleed漏洞所衍生的危害是独一无二前所未有的。 Heartbleed暴露了开源安全组件不为人知的黑暗面:在过去一旦发现这种“惊天动地”的漏洞,总会有一个供应商为该漏洞所造成的所有损失负责。可在此次的开源漏洞事件当中,谁又会对相关损失负责呢?恐怕这次需要OpenSSL的用户自己埋单了。 Heartbleed安全漏洞的爆出对NIST、FIPS 140-2审计实验室以及FIPS认证市场倡导者而言,无疑也是一个沉重打击。OpenSSL是第一个通过FIPS 140-2验证的开源模块。毫无疑问,就强健性和安全性而言,FIPS 140-2是最令人信服的象征。然而,Heartbleed漏洞的爆出有可能会招致用户对FIPS安全认证的怀疑,正如曾经的Target漏洞引发了用户对PCI安全性的质疑一样。 那么,如果企业真的“走运”遭遇Heartbleed该如何处理?为此,全球知名安全厂家Radware的专家就此次漏洞攻击提出了几点建议: · 做好安全预算规划:与商业化或专有解决方案相比,应考虑加入开源安全解决方案会增加企业的安全风险与成本,同时企业也很可能要因为由开源漏洞带来的危害而付出额外代价。基于此项目的TCO和ROI也可能会因此受到影响。 · 进行安全审查:企业安全专家千万不要被第三方审计、合规性及认证方法所迷惑。企业安全专家一定要非常了解已知的风险,构建适合企业的安全体系架构,并进行入侵测试。企业安全专家们一定要切记,在该过程中没有免费午餐,一定不要因小失大。 · 做好下一步防护措施:企业安全专家还需要对企业的安全架构进行审查。不可否认的是,无论企业安全架构如何,安全专家总能找到可以完善的地方。企业安全专家或许也曾考虑过Web应用防火墙、IPS解决方案或DLP解决方案,但是不可否认的是,这三个解决方案没有一个是完美无缺的,唯有采用多层方法才能帮助企业转危为安。 Radware安全专家提醒用户谨记一点,千万不要把所有的鸡蛋放在一个篮子里。用户在进行网络安全规划时,一定要采用多层技术来确保数据的安全。用户可以利用OpenSSL对敏感数据进行加密保护,但同时需要安装Web应用防火墙,以便企业拦截来自网站的攻击和防止数据泄露。[返回频道首页] >> 网络论坛 - 业界动态 - 新品情报 - 无线网络 - 网络存储 - 网络安全 - 安防监控 - 技术应用 - 解决方案 << |
