這幾天大家聽(tīng)說(shuō)了,一個(gè)名為CVE-2014-0160的漏洞(也被稱(chēng)為“Heartbleed”)已經(jīng)對(duì)超級(jí)流行的開(kāi)源OpenSSL軟件包造成了嚴(yán)重威脅��,Heartbleed漏洞所衍生的危害是獨(dú)一無(wú)二前所未有的�。
Heartbleed暴露了開(kāi)源安全組件不為人知的黑暗面:在過(guò)去一旦發(fā)現(xiàn)這種“驚天動(dòng)地”的漏洞,總會(huì)有一個(gè)供應(yīng)商為該漏洞所造成的所有損失負(fù)責(zé)�������?稍诖舜蔚拈_(kāi)源漏洞事件當(dāng)中����,誰(shuí)又會(huì)對(duì)相關(guān)損失負(fù)責(zé)呢?恐怕這次需要OpenSSL的用戶自己埋單了。
Heartbleed安全漏洞的爆出對(duì)NIST��、FIPS 140-2審計(jì)實(shí)驗(yàn)室以及FIPS認(rèn)證市場(chǎng)倡導(dǎo)者而言����,無(wú)疑也是一個(gè)沉重打擊。OpenSSL是第一個(gè)通過(guò)FIPS 140-2驗(yàn)證的開(kāi)源模塊�。毫無(wú)疑問(wèn)����,就強(qiáng)健性和安全性而言,F(xiàn)IPS 140-2是最令人信服的象征。然而��,Heartbleed漏洞的爆出有可能會(huì)招致用戶對(duì)FIPS安全認(rèn)證的懷疑�,正如曾經(jīng)的Target漏洞引發(fā)了用戶對(duì)PCI安全性的質(zhì)疑一樣。
作為全球領(lǐng)先的應(yīng)用安全和網(wǎng)絡(luò)安全解決方案提供商����,Radware密切關(guān)注行業(yè)內(nèi)的重大安全事件,此次Heartbleed漏洞一經(jīng)曝出�����,Radware安全專(zhuān)家就為企業(yè)安全專(zhuān)家應(yīng)如何應(yīng)對(duì)此次漏洞攻擊提出了幾點(diǎn)建議:
· 做好安全預(yù)算規(guī)劃:與商業(yè)化或?qū)S薪鉀Q方案相比��,應(yīng)考慮加入開(kāi)源安全解決方案會(huì)增加企業(yè)的安全風(fēng)險(xiǎn)與成本����,同時(shí)企業(yè)也很可能要因?yàn)橛砷_(kāi)源漏洞帶來(lái)的危害而付出額外代價(jià)����;诖隧(xiàng)目的TCO和ROI也可能會(huì)因此受到影響。
· 進(jìn)行安全審查:企業(yè)安全專(zhuān)家千萬(wàn)不要被第三方審計(jì)����、合規(guī)性及認(rèn)證方法所迷惑��。企業(yè)安全專(zhuān)家一定要非常了解已知的風(fēng)險(xiǎn)�,構(gòu)建適合企業(yè)的安全體系架構(gòu)��,并進(jìn)行入侵測(cè)試���。企業(yè)安全專(zhuān)家們一定要切記���,在該過(guò)程中沒(méi)有免費(fèi)午餐,一定不要因小失大��。
· 做好下一步防護(hù)措施:企業(yè)安全專(zhuān)家還需要對(duì)企業(yè)的安全架構(gòu)進(jìn)行審查�����。不可否認(rèn)的是�����,無(wú)論企業(yè)安全架構(gòu)如何��,安全專(zhuān)家總能找到可以完善的地方����。企業(yè)安全專(zhuān)家或許也曾考慮過(guò)Web應(yīng)用防火墻��、IPS解決方案或DLP解決方案,但是不可否認(rèn)的是�����,這三個(gè)解決方案沒(méi)有一個(gè)是完美無(wú)缺的�,唯有采用多層方法才能幫助企業(yè)轉(zhuǎn)危為安。
Radware安全專(zhuān)家提醒用戶謹(jǐn)記一點(diǎn)���,千萬(wàn)不要把所有的雞蛋放在一個(gè)籃子里���。用戶在進(jìn)行網(wǎng)絡(luò)安全規(guī)劃時(shí),一定要采用多層技術(shù)來(lái)確保數(shù)據(jù)的安全�。用戶可以利用OpenSSL對(duì)敏感數(shù)據(jù)進(jìn)行加密保護(hù),但同時(shí)需要安裝Web應(yīng)用防火墻���,以便企業(yè)攔截來(lái)自網(wǎng)站的攻擊和防止數(shù)據(jù)泄露��。
