這幾天大家聽說了�,一個名為CVE-2014-0160的漏洞(也被稱為“Heartbleed”)已經(jīng)對超級流行的開源OpenSSL軟件包造成了嚴(yán)重威脅,Heartbleed漏洞所衍生的危害是獨(dú)一無二前所未有的�。
Heartbleed暴露了開源安全組件不為人知的黑暗面:在過去一旦發(fā)現(xiàn)這種“驚天動地”的漏洞��,總會有一個供應(yīng)商為該漏洞所造成的所有損失負(fù)責(zé)���。可在此次的開源漏洞事件當(dāng)中����,誰又會對相關(guān)損失負(fù)責(zé)呢?恐怕這次需要OpenSSL的用戶自己埋單了。
Heartbleed安全漏洞的爆出對NIST����、FIPS 140-2審計實(shí)驗室以及FIPS認(rèn)證市場倡導(dǎo)者而言,無疑也是一個沉重打擊�。OpenSSL是第一個通過FIPS 140-2驗證的開源模塊。毫無疑問�����,就強(qiáng)健性和安全性而言���,F(xiàn)IPS 140-2是最令人信服的象征�����。然而�,Heartbleed漏洞的爆出有可能會招致用戶對FIPS安全認(rèn)證的懷疑�����,正如曾經(jīng)的Target漏洞引發(fā)了用戶對PCI安全性的質(zhì)疑一樣�����。
作為全球領(lǐng)先的應(yīng)用安全和網(wǎng)絡(luò)安全解決方案提供商�,Radware密切關(guān)注行業(yè)內(nèi)的重大安全事件,此次Heartbleed漏洞一經(jīng)曝出�,Radware安全專家就為企業(yè)安全專家應(yīng)如何應(yīng)對此次漏洞攻擊提出了幾點(diǎn)建議:
· 做好安全預(yù)算規(guī)劃:與商業(yè)化或?qū)S薪鉀Q方案相比,應(yīng)考慮加入開源安全解決方案會增加企業(yè)的安全風(fēng)險與成本�,同時企業(yè)也很可能要因為由開源漏洞帶來的危害而付出額外代價��;诖隧椖康腡CO和ROI也可能會因此受到影響��。
· 進(jìn)行安全審查:企業(yè)安全專家千萬不要被第三方審計���、合規(guī)性及認(rèn)證方法所迷惑���。企業(yè)安全專家一定要非常了解已知的風(fēng)險,構(gòu)建適合企業(yè)的安全體系架構(gòu)���,并進(jìn)行入侵測試�。企業(yè)安全專家們一定要切記,在該過程中沒有免費(fèi)午餐�����,一定不要因小失大���。
· 做好下一步防護(hù)措施:企業(yè)安全專家還需要對企業(yè)的安全架構(gòu)進(jìn)行審查����。不可否認(rèn)的是����,無論企業(yè)安全架構(gòu)如何,安全專家總能找到可以完善的地方�����。企業(yè)安全專家或許也曾考慮過Web應(yīng)用防火墻���、IPS解決方案或DLP解決方案�����,但是不可否認(rèn)的是���,這三個解決方案沒有一個是完美無缺的,唯有采用多層方法才能幫助企業(yè)轉(zhuǎn)危為安�。
Radware安全專家提醒用戶謹(jǐn)記一點(diǎn),千萬不要把所有的雞蛋放在一個籃子里�。用戶在進(jìn)行網(wǎng)絡(luò)安全規(guī)劃時,一定要采用多層技術(shù)來確保數(shù)據(jù)的安全����。用戶可以利用OpenSSL對敏感數(shù)據(jù)進(jìn)行加密保護(hù),但同時需要安裝Web應(yīng)用防火墻����,以便企業(yè)攔截來自網(wǎng)站的攻擊和防止數(shù)據(jù)泄露。
