企業信息安全面臨“云挑戰”

如果你是Microsoft、Adobe或任意其它主要的商業軟件廠商，千萬不要給大陸航空公司的首席信息安全官Tim Stanley添堵，他不是被大量急需修復的bug纏身就是缺乏應對那些問題的資源。

    “不要告訴我你下決心修復漏洞的痛苦，我不關心這些。你本身就是干軟件行業的，那些代碼是你寫出來的，出現的問題也應該由你來解決。如果你不能處理好，就不要在那行混飯吃。”

    Metasploit的創建者HD Moore在開場白中談到了從發現bug到補丁發布的時間跨度，微軟的高級安全戰略家Katie Moussouris認為廠商和研究人員之間保持持續的溝通非常重要。Stanley代表了廣大的用戶，他們是漏洞披露辯論中常常被忽視的群體。通常這些辯論會的觀點都出自研究人員或廠商，但此次2010 RSA大會的小組討論中Stanley站上了發言臺，他是Microsoft和Adobe的一位大客戶。Stanley并沒有將太多時間浪費在發牢騷上，他敏銳地抨擊了一些廠商和研究人員的開場白內容。

    “我很欣賞廠商和研究人員之間的友好溝通，但坦白來說，我很不滿意他們的做法。我是用戶，產品的費用是由我來支付的，我有理由要求漏洞在第一時間內被修復好。我煩透了各層關系帶來的延時。微軟知道了某個bug，研究人員知道了這個bug，而我是這一軟件的最終付費者。什么時候才輪到我弄清楚問題呢？”

    Stanley說：“現在的問題出在人們支付了產品的費用，他們需要了解進展的具體情況。”

    Stanley引發的這一論調旗幟鮮明，不屬于以往的任何常規討論主題：廠商分類和bug補丁修復的優先次序，零日漏洞如何影響補丁周期，以及回歸測試和補丁的穩定性。

    例如，Moore稱漏洞披露問責有誤——責任在廠商。研究人員受惠于廠商，他們會將bug通告給廠商，再由廠商決定這一發現何時公開。“如果你有證據證明外界已發生相應的漏洞攻擊，而廠商還沒有發布補丁來進行修復，這種情況下是廠商還是你不負責任沒有上報呢？”

    Adobe的產品安全和隱私主管Brad Arkin稱，外界發出的有關其Flash and Reader產品的bug會被列入較高的優先級。Arkin說他的團隊會首先試圖再現問題情況，并基于問題細節公開的程度確定它給用戶帶來的風險級別。

    Arkin說：“如果漏洞的詳情已完全公開，補丁修復就要以更快的速度完成。我們會努力將漏洞范圍縮小，但這種情況下的成本會更高。我們隨后會修復其他的bug。”

    Katie Moussouris稱微軟采取的也是類似的方式。

    “當研究人員報告某一漏洞時，我們并不一定會調動所有資源來應對這一漏洞。舉個例子，如果外界發現微軟出現了嚴重漏洞，但我們之前發現的內部漏洞有可能比這一漏洞的優先級更高，更容易被攻擊。廠商需要向研究人員表示其正在解決他們提出的問題，但發現了一些回歸測試或變種，需要優先處理其他一些問題。”

    微軟的安全開發生命周期(SDL)在很多方面已成為將安全引進軟件設計和測試的行業標準。Windows安全已收緊了操作系統的連續迭代，而且其例行補丁發布已簡化了全球IT部門規劃。Moussouris說，微軟過去那段基本上將QA測試外包給客戶的安全更新歷程已一去不復返了。

    Moussouris對Stanley說：“有些更新一次又一次地發布出來是因為它們打破了共同的安裝環境，你不關心可能由此引發的資源分配難點，但我可以肯定你會關心你系統的穩定性。”

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]