扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:计算机世界 王昆月 2007年8月22日
关键字:
在本页阅读全文(共4页)
Johnston的小组已创建了一个漏洞披露索引(VDI),其中标明一旦真正发现一个漏洞所要采取的措施。Johnston说:“发现漏洞后紧跟的问题之一是,明确你要将
|
大量网络(比如,用于金融交易的网络)通过GPS卫星信号实现他们关键的时间同步。如果有人提供了GPS虚假信息,那么网络可在几毫秒就受到冲击,其潜在后果可能十分严重。有些人可能认为GPS干扰才是问题,不过在我们的观念中,GPS的欺诈问题更严重得多,且这一情况还未得到人们的广泛认识。我们是要讨论一下这个问题吗?我们要将这一问题写入报告吗?或者我们只是口上说说而已?
一直以来,这类问题都是突然出现的,但也有相当简单的,根据这些迹象你就能发现问题所在。如果大量守法公民看起来在了解漏洞方面似乎都不是十分精通,而小部分不法分子却精通,那么你可能必须将发现公之于众。如果这一攻击后果相当明显(我认为GPS欺诈也属此类),不法分子将会想方设法采取行动。因此,再重申一次,你必须将发现公之于众。而另一方面,如果它是一种并未得到很多人使用的专业安全设备,而大量潜在不法分子可能想要攻击它,那么也许你并不必公开这一漏洞,你只需要找出它所针对的终端用户,向他们指明潜在问题即可。漏洞泄露索引(VDI)是一种半定量尝试,就你是否应披露这一漏洞、以何种方式公开以及你应披露多少细节会为你提供一些指导。
Johnston的索引真正针对的是物理安全。IT安全则属于完全不同的领域。让我们假设一下,你正在玩电脑,突然发现了一个非常严重的软件漏洞。多数人赞成你采取以下行动: 联系软件公司,并告之“我认为这里存在一个问题”,为他们提供一个修复这一漏洞的机会。如果过了一段时间,他们仅在进行讨论而未采取任何措施,那么可能你就必须将这一问题公开。一旦他们修复这一问题,也就不会有大影响了。毕竟,每个购买这一产品的人通常会检查一下产品是否有升级功能。
而物理安全则并不是如此。在许多情况下,物理安全系统都是来自于许多不同供应商,而且极可能还是由第三方供应商组装而成。通常,没有一家公司会对潜在漏洞进行投诉。此外,修复方式不只是一些软件下载,可能需服务人员出动,更换一些零件,因此它可能是非常昂贵且具破坏性的。在你让每个人都注意到一个物理安全漏洞时,你可能先要考虑一下这种方式对于修复这一问题是否实用。
当漏洞评估工作得到赞助时,赞助人可拥有发现的成果,但这也未必就表示漏洞评估员可以不警告他人。这点可能让那些想要雇人进行漏洞评估的CSO有些担心害怕,从而想要用一纸合约来确保评估结果依然为私人所有。举个例子吧,假设一家公司正考虑采用一款商用安全设备,假设我们对这款设备做了一次漏洞评估,可如果企业用一纸合约就可横加干涉,那么评估结果将起不到什么作用。我们知道商用设备一直被用于包括企业安全、美国国家安全以及核保障在内的各种应用中。我们相信我们负有道义上的责任,应告诉人们可能存在的问题。对于我们的这种处理方式,与我们合作过的大多数公司都未有任何异议;在一些案例中,甚至有一些企业是鼓励我们这样做的。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。