企业信息安全面临“云挑战”

时间:14-12-12 栏目:云安全 作者:爱说云网 评论:0 点击: 2,231 次

如果你是Microsoft、Adobe或任意其它主要的商业软件厂商,千万不要给大陆航空公司的首席信息安全官Tim Stanley添堵,他不是被大量急需修复的bug缠身就是缺乏应对那些问题的资源。

“不要告诉我你下决心修复漏洞的痛苦,我不关心这些。你本身就是干软件行业的,那些代码是你写出来的,出现的问题也应该由你来解决。如果你不能处理好,就不要在那行混饭吃。”

Metasploit的创建者HD Moore在开场白中谈到了从发现bug到补丁发布的时间跨度,微软的高级安全战略家Katie Moussouris认为厂商和研究人员之间保持持续的沟通非常重要。Stanley代表了广大的用户,他们是漏洞披露辩论中常常被忽视的群体。通常这些辩论会的观点都出自研究人员或厂商,但此次2010 RSA大会的小组讨论中Stanley站上了发言台,他是Microsoft和Adobe的一位大客户。Stanley并没有将太多时间浪费在发牢骚上,他敏锐地抨击了一些厂商和研究人员的开场白内容。

“我很欣赏厂商和研究人员之间的友好沟通,但坦白来说,我很不满意他们的做法。我是用户,产品的费用是由我来支付的,我有理由要求漏洞在第一时间内被修复好。我烦透了各层关系带来的延时。微软知道了某个bug,研究人员知道了这个bug,而我是这一软件的最终付费者。什么时候才轮到我弄清楚问题呢?”

Stanley说:“现在的问题出在人们支付了产品的费用,他们需要了解进展的具体情况。”

Stanley引发的这一论调旗帜鲜明,不属于以往的任何常规讨论主题:厂商分类和bug补丁修复的优先次序,零日漏洞如何影响补丁周期,以及回归测试和补丁的稳定性。

例如,Moore称漏洞披露问责有误——责任在厂商。研究人员受惠于厂商,他们会将bug通告给厂商,再由厂商决定这一发现何时公开。“如果你有证据证明外界已发生相应的漏洞攻击,而厂商还没有发布补丁来进行修复,这种情况下是厂商还是你不负责任没有上报呢?”

Adobe的产品安全和隐私主管Brad Arkin称,外界发出的有关其Flash and Reader产品的bug会被列入较高的优先级。Arkin说他的团队会首先试图再现问题情况,并基于问题细节公开的程度确定它给用户带来的风险级别。

Arkin说:“如果漏洞的详情已完全公开,补丁修复就要以更快的速度完成。我们会努力将漏洞范围缩小,但这种情况下的成本会更高。我们随后会修复其他的bug。”

Katie Moussouris称微软采取的也是类似的方式。

“当研究人员报告某一漏洞时,我们并不一定会调动所有资源来应对这一漏洞。举个例子,如果外界发现微软出现了严重漏洞,但我们之前发现的内部漏洞有可能比这一漏洞的优先级更高,更容易被攻击。厂商需要向研究人员表示其正在解决他们提出的问题,但发现了一些回归测试或变种,需要优先处理其他一些问题。”

微软的安全开发生命周期(SDL)在很多方面已成为将安全引进软件设计和测试的行业标准。Windows安全已收紧了操作系统的连续迭代,而且其例行补丁发布已简化了全球IT部门规划。Moussouris说,微软过去那段基本上将QA测试外包给客户的安全更新历程已一去不复返了。

Moussouris对Stanley说:“有些更新一次又一次地发布出来是因为它们打破了共同的安装环境,你不关心可能由此引发的资源分配难点,但我可以肯定你会关心你系统的稳定性。”

相关文章

专家支招:选择安全云存储的五大要素
views 2810
安全云数据存储服务可以帮助小型企业经济有效地保护数据,但在选择供应商之前,请牢记专家Joe Malec提出的五大注意事项。 曾经安全数据存储只是事后的考虑,现在它已经成为重要的企业功能。在过去,企业业主可以简单地备份日常发票数据到磁带,并将其存储在抽屉里进行保管。而现在,政府法规、日益增长的按...
典型的云迁移案例与迁移复杂性详解
views 1729
 当你的合作伙伴把他们客户的业务应用程序移至云时,他们也在进步,学习进一步增加获得业务机会的技能和方法。     希望使用云作为运行他们部分或全部应用程序的计算平台的IT部门必须首先把那些应用程序迁移至云。这项任务却是知易行难的,因此很多企业把目光正在转向渠道合作伙伴以寻求帮助。但是...
云计算技术发展面临的主要问题
views 2559
云计算技术发展面临的主要问题   尽管云计算模式具有许多优点,但是也存在的一些问题,如数据隐私问题、安全问题、软件许可证问题、网络传输问题等。   · 数据隐私问题:如何保证存放在云服务提供商的数据隐私,不被非法利用,不仅需要技术的改进,也需要法律的进一步完善。   · 数据安全性:有些数据是...
Amazon EC2 instance解决周期性负载高峰
views 1811
越来越多的公司发现通过购买硬件来满足周期性的负载需求会浪费大量开销,因为在一年当中的大多数时间,这些设备都处于闲置状态。而应对这种负载高峰并且最小化开销的方式之一就是使用云服务,比如Amazon EC2 instance。 本教程将会为虚拟化管理员展示如何使用vCloud Automation Ce...
微软云服务占有率升至10% 缩小与亚马逊差距...
views 1568
腾讯科技讯 12月13日,最新数据表明,微软云服务Azure与亚马逊云服务AWS的市场差距正在缩小,但微软的上升势头也面临挑战。 去年,软件制造商K2停止使用亚马逊云服务AWS,转向微软Azure。K2首席执行官阿德里安•范•维克(Adriaan van Wyk)曾表示,Azure大部分时间让他感到...
云安全技术
views 3225
“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到...
现在是云计算创业最佳时期
views 5832
趋势科技昨日推出了基于趋势科技云安全技术核心的全新云安全3.0解决方案,成为全球保护“云计算”安全的首家网络安全厂商。在会后,就当前云安全形势、营销、企业级市场服务等问题,趋势科技全球执行副总裁暨亚太区总经理张伟钦接受了搜狐IT的专访。 现在是云计算创业最佳时期 由于目前提供云计算的公司众多,各...
盘点数据库2014:一步之遥到云端
views 3958
年终将至,盘点开始。数据库技术重换青春,市场竞争也达到了前所未有的激烈程度。可以肯定的是,数据库未来将沿着“云”和“大数据”这两个主要方向发展。无论是传统关系型数据库巨头,还是新晋NoSQL、NewSQL创业公司,都希望抓住这一机遇,或重现辉煌,或迎头赶上。如果非要用一个词来形容2014的话,我想没...

声明: 本文由( 爱说云网 )原创编译,转载请保留链接: 企业信息安全面临“云挑战”

企业信息安全面临“云挑战”:等您坐沙发呢!

发表评论


读者排行