理念前沿

揭示漏洞

John N. Stewart

作为客户,您一定非常希望尽可能了解信息系统中存在哪些技术薄弱点。只要了解了这些薄弱点,即使厂商来不及修复,也可以采取相应的步骤,降低信息系统的风险。从另一方面看,您希望每个人都知道目前使用的技术的薄弱点吗?很多厂商都面临着两难选择:如果透露了技术的薄弱点,而不能及时修复,那么,在让客户了解情况的同时,为了某种目的而力图利用这些薄弱点的不法分子可能会趁机侵入网络,从而提高网络面临的风险。

为有效弥补这些薄弱点,各厂商必须与研究机构通力合作,及时了解系统中存在的薄弱点,并开发相应的解决方案,以风险最低的方式向客户透露相关信息。尽管人们对怎样和何时透露信息系统的薄弱点及其弥补方法还存在疑问,但与保护非IT和物理基础设施相似,业内已经积累了很多薄弱点管理方面的最佳实践和经验。软件越来越复杂,对第三方软件的依赖度越来越高。因此,怎样管理软件薄弱点就变成了信息系统风险管理中的一个非常重要的部分。

共同协作

研究机构和厂商有一些共同的目标:降低信息系统风险,阻止相关的恶意行为。厂商、研究机构和客户当然应该时刻不忘这些目标,但与此同时,另一个目标也不应该被忽略:降低薄弱点对客户的影响。

客户最希望厂商和研究机构能够通力合作。厂商应该认真听取研究机构的意见,与研究机构一起全面了解相关的发现和担心的问题,并根据研究机构的意愿分析出现薄弱点的原因。与此同时,研究机构应该了解和分析厂商在弥补薄弱点过程中遇到的问题,尤其是当厂商需要利用第三方程序执行大量测试的时候。

简言之,双方都应该寻找合作的途径,尽可能畅所欲言,并尽可能站在对方的角度思考问题。

在合作框架中扮演的角色

如果厂商和研究机构都为厂商的客户着想,他们应该建立一个框架,用于交流、研究和透露薄弱点,以此实现双方的目标。很多厂商和研究机构都已经接受了国家基础设施咨询委员会(NIAC)于2004年1月出版的薄弱点披露框架。NIAC的目的是为所涉及到的每个人提供最佳实践。厂商和研究机构应当遵守这种框架,或者密切合作,通过类似的结构化论坛达到改善的目的。

厂商的责任包括持续改善开发和测试过程。厂商应当与研究机构合作,及时了解外部各方发现的薄弱点。另外,厂商还应当制定强大的协作管理流程,保证全面了解、披露和核实各项发现。

研究机构应当与厂商合作,共同开发解决方案,及时弥补薄弱点,并提出能够降低风险的框架。

在技术创新的过程中,最终用户,即每天使用软件产品的客户,也起着相当重要的作用。随着客户网络复杂度的提高,实施周期的不断缩短,旨在破坏信息系统的方法也以类似的速度发展。客户必须保证信息系统的后续维护预算,并制定相应的计划。

在未来取得成功

当今的多数公司都使用着由多家厂商开发的软件,因而必须解决跨厂商依赖性问题,并执行跨厂商测试。如果想在这个领域中取得成功,必须吸取过去10年中积累的经验,用更加有效的方式完成系统设计、施工、测试,发现并披露薄弱点。

随着企业网络复杂性的提高,研究机构和厂商都将以更新、更有效的方法抵御网络攻击和犯罪。在产品创新和系统创新的同时,薄弱点披露也需要继续创新。

展望未来,人们出现不同的看法在所难免,但协作仍然是未来的主题。不合作的结果只能是丧失机遇。

作者简介

John N. Stewart是思科系统公司的公司安全计划部副总裁兼首席安全官。

了解更多信息

在企业发展的同时利用网络提高运营效率

从总体质量管理的角度确保安全性

联系我们