遭遇“Heartbleed”怎么办?Radware建议三步措施转危为安

DOIT 发表于:14年04月16日 16:00 [来稿] DOIT.com.cn

  • 分享:
[导读]这几天大家听说了,一个名为CVE-2014-0160的漏洞(也被称为“Heartbleed”)已经对超级流行的开源OpenSSL软件包造成了严重威胁,Heartbleed漏洞所衍生的危害是独一无二前所未有的。

这几天大家听说了,一个名为CVE-2014-0160的漏洞(也被称为“Heartbleed”)已经对超级流行的开源OpenSSL软件包造成了严重威胁,Heartbleed漏洞所衍生的危害是独一无二前所未有的。

Heartbleed暴露了开源安全组件不为人知的黑暗面:在过去一旦发现这种“惊天动地”的漏洞,总会有一个供应商为该漏洞所造成的所有损失负责。可在此次的开源漏洞事件当中,谁又会对相关损失负责呢?恐怕这次需要OpenSSL的用户自己埋单了。

Heartbleed安全漏洞的爆出对NIST、FIPS 140-2审计实验室以及FIPS认证市场倡导者而言,无疑也是一个沉重打击。OpenSSL是第一个通过FIPS 140-2验证的开源模块。毫无疑问,就强健性和安全性而言,FIPS 140-2是最令人信服的象征。然而,Heartbleed漏洞的爆出有可能会招致用户对FIPS安全认证的怀疑,正如曾经的Target漏洞引发了用户对PCI安全性的质疑一样。

作为全球领先的应用安全和网络安全解决方案提供商,Radware密切关注行业内的重大安全事件,此次Heartbleed漏洞一经曝出,Radware安全专家就为企业安全专家应如何应对此次漏洞攻击提出了几点建议:

· 做好安全预算规划:与商业化或专有解决方案相比,应考虑加入开源安全解决方案会增加企业的安全风险与成本,同时企业也很可能要因为由开源漏洞带来的危害而付出额外代价。基于此项目的TCO和ROI也可能会因此受到影响。

· 进行安全审查:企业安全专家千万不要被第三方审计、合规性及认证方法所迷惑。企业安全专家一定要非常了解已知的风险,构建适合企业的安全体系架构,并进行入侵测试。企业安全专家们一定要切记,在该过程中没有免费午餐,一定不要因小失大。

· 做好下一步防护措施:企业安全专家还需要对企业的安全架构进行审查。不可否认的是,无论企业安全架构如何,安全专家总能找到可以完善的地方。企业安全专家或许也曾考虑过Web应用防火墙、IPS解决方案或DLP解决方案,但是不可否认的是,这三个解决方案没有一个是完美无缺的,唯有采用多层方法才能帮助企业转危为安。

Radware安全专家提醒用户谨记一点,千万不要把所有的鸡蛋放在一个篮子里。用户在进行网络安全规划时,一定要采用多层技术来确保数据的安全。用户可以利用OpenSSL对敏感数据进行加密保护,但同时需要安装Web应用防火墙,以便企业拦截来自网站的攻击和防止数据泄露。

[责任编辑:李洪亮]
李洪亮
近日,Doserv记者采访到思杰公司大中华区技术总监 侯继涛与思杰公司大中华区企业移动暨云计算业务发展总监 张弘。他们向记者深入浅出阐述了2014年思杰在业务扩展和产品升级等方面计划。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.