DOIT 发表于:14年04月16日 16:00 [来稿] DOIT.com.cn
这几天大家听说了,一个名为CVE-2014-0160的漏洞(也被称为“Heartbleed”)已经对超级流行的开源OpenSSL软件包造成了严重威胁,Heartbleed漏洞所衍生的危害是独一无二前所未有的。
Heartbleed暴露了开源安全组件不为人知的黑暗面:在过去一旦发现这种“惊天动地”的漏洞,总会有一个供应商为该漏洞所造成的所有损失负责。可在此次的开源漏洞事件当中,谁又会对相关损失负责呢?恐怕这次需要OpenSSL的用户自己埋单了。
Heartbleed安全漏洞的爆出对NIST、FIPS 140-2审计实验室以及FIPS认证市场倡导者而言,无疑也是一个沉重打击。OpenSSL是第一个通过FIPS 140-2验证的开源模块。毫无疑问,就强健性和安全性而言,FIPS 140-2是最令人信服的象征。然而,Heartbleed漏洞的爆出有可能会招致用户对FIPS安全认证的怀疑,正如曾经的Target漏洞引发了用户对PCI安全性的质疑一样。
作为全球领先的应用安全和网络安全解决方案提供商,Radware密切关注行业内的重大安全事件,此次Heartbleed漏洞一经曝出,Radware安全专家就为企业安全专家应如何应对此次漏洞攻击提出了几点建议:
· 做好安全预算规划:与商业化或专有解决方案相比,应考虑加入开源安全解决方案会增加企业的安全风险与成本,同时企业也很可能要因为由开源漏洞带来的危害而付出额外代价。基于此项目的TCO和ROI也可能会因此受到影响。
· 进行安全审查:企业安全专家千万不要被第三方审计、合规性及认证方法所迷惑。企业安全专家一定要非常了解已知的风险,构建适合企业的安全体系架构,并进行入侵测试。企业安全专家们一定要切记,在该过程中没有免费午餐,一定不要因小失大。
· 做好下一步防护措施:企业安全专家还需要对企业的安全架构进行审查。不可否认的是,无论企业安全架构如何,安全专家总能找到可以完善的地方。企业安全专家或许也曾考虑过Web应用防火墙、IPS解决方案或DLP解决方案,但是不可否认的是,这三个解决方案没有一个是完美无缺的,唯有采用多层方法才能帮助企业转危为安。
Radware安全专家提醒用户谨记一点,千万不要把所有的鸡蛋放在一个篮子里。用户在进行网络安全规划时,一定要采用多层技术来确保数据的安全。用户可以利用OpenSSL对敏感数据进行加密保护,但同时需要安装Web应用防火墙,以便企业拦截来自网站的攻击和防止数据泄露。