移动安全 安全管理应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用案例 >

站在用户的角度探讨2010 RSA漏洞

时间:2011-05-02 17:17来源: 点击:
如果你是Microsoft、Adobe或任意其它主要的商业软件厂商,千万不要给大陆航空公司的首席信息安全官Tim Stanley添堵,他不是被大量急需修复的bug缠身就是缺乏应对那些问题的资源。
Tags漏洞(188)RSA(76)  

  如果你是、Adobe或任意其它主要的商业软件厂商,千万不要给大陆航空公司的首席官Tim Stanley添堵,他不是被大量急需修复的bug缠身就是缺乏应对那些问题的资源。

  “不要告诉我你下决心修复漏洞的痛苦,我不关心这些。你本身就是干软件行业的,那些代码是你写出来的,出现的问题也应该由你来解决。如果你不能处理好,就不要在那行混饭吃。”

  Metasploit的创建者HD Moore在开场白中谈到了从发现bug到补丁发布的时间跨度,的高级安全战略家Katie Moussouris认为厂商和研究人员之间保持持续的沟通非常重要。Stanley代表了广大的用户,他们是漏洞披露辩论中常常被忽视的群体。通常这些辩论会的观点都出自研究人员或厂商,但此次2010 RSA大会的小组讨论中Stanley站上了发言台,他是Microsoft和Adobe的一位大客户。Stanley并没有将太多时间浪费在发牢骚上,他敏锐地抨击了一些厂商和研究人员的开场白内容。

  “我很欣赏厂商和研究人员之间的友好沟通,但坦白来说,我很不满意他们的做法。我是用户,产品的费用是由我来支付的,我有理由要求漏洞在第一时间内被修复好。我烦透了各层关系带来的延时。微软知道了某个bug,研究人员知道了这个bug,而我是这一软件的最终付费者。什么时候才轮到我弄清楚问题呢?”

  Stanley说:“现在的问题出在人们支付了产品的费用,他们需要了解进展的具体情况。”

  Stanley引发的这一论调旗帜鲜明,不属于以往的任何常规讨论主题:厂商分类和bug补丁修复的优先次序,零日漏洞如何影响补丁周期,以及回归测试和补丁的稳定性。

  例如,Moore称漏洞披露问责有误——责任在厂商。研究人员受惠于厂商,他们会将bug通告给厂商,再由厂商决定这一发现何时公开。“如果你有证据证明外界已发生相应的漏洞攻击,而厂商还没有发布补丁来进行修复,这种情况下是厂商还是你不负责任没有上报呢?”

  Adobe的产品安全和隐私主管Brad Arkin称,外界发出的有关其Flash and Reader产品的bug会被列入较高的优先级。Arkin说他的团队会首先试图再现问题情况,并基于问题细节公开的程度确定它给用户带来的风险级别。

  Arkin说:“如果漏洞的详情已完全公开,补丁修复就要以更快的速度完成。我们会努力将漏洞范围缩小,但这种情况下的成本会更高。我们随后会修复其他的bug。”

  Katie Moussouris称微软采取的也是类似的方式。

  “当研究人员报告某一漏洞时,我们并不一定会调动所有资源来应对这一漏洞。举个例子,如果外界发现微软出现了严重漏洞,但我们之前发现的内部漏洞有可能比这一漏洞的优先级更高,更容易被攻击。厂商需要向研究人员表示其正在解决他们提出的问题,但发现了一些回归测试或变种,需要优先处理其他一些问题。”

  微软的安全开发生命周期(SDL)在很多方面已成为将安全引进软件设计和测试的行业标准。Windows安全已收紧了的连续迭代,而且其例行补丁发布已简化了全球IT部门规划。Moussouris说,微软过去那段基本上将QA测试外包给客户的安全更新历程已一去不复返了。

  Moussouris对Stanley说:“有些更新一次又一次地发布出来是因为它们打破了共同的安装环境,你不关心可能由此引发的资源分配难点,但我可以肯定你会关心你系统的稳定性。”

------分隔线----------------------------

推荐内容