新聞| | PChome| 登入
2005-11-16 20:09:00| 人氣161| 回應0 | 上一篇 | 下一篇

安全修補 永遠是貓捉老鼠的競賽

推薦 0 收藏 0 轉貼0 訂閱站台



系統管理員修補安全漏洞的速度或許是加快了,但卻似乎總是被駭客牽著鼻子走。這是因為:鑽這些漏洞的惡意攻擊領先一步。

周二(15日)在華盛頓舉行的電腦安全協會會議上致詞時,安全管理軟體公司Qualys的技術長兼工程副總裁Gerhard Eschelbeck表示,儘管亡羊補牢的作法去年已有改善,但目前仍有70%的系統潛在安全弱點,容易在駭客攻擊時遭到毒手。

Eschelbeck指出,今年以來,系統管理員已把「脆弱性半期」(vulnerability half life)縮短兩天。直接與網際網路連線的系統可能潛在安全弱點,「脆弱性半期」指的是縮短這些脆弱系統數目所需的時間。

他說,目前來說,平均每19天,系統管理員就會用修補程式、變通辦法或其他安全解決方案,來解決半數的重大安全弱點。這已比兩年前所需的30天和一年前的21天改善。

但花19天才著手修補半數的脆弱系統漏洞,仍有許多改進的空間。「80%的駭客範本程式(exploits)在發現弱點後的前半段時期出籠,」Eschelbeck說。

企業內部系統通常受到防火牆或其他安全技術保護。Eschelbeck說,管理這些系統的人員修補安全漏洞的步伐慢吞吞的,目前需要耗費48天才能修補好半數的系統,儘管已比去年所需的62天改進。


要提昇修補系統安全漏洞的效率,Eschelbeck建議企業定出修補安全漏洞的優先順序。他說:「多達90%的攻擊起源自10%的安全弱點。」Eschelbeck推薦系統管理員採用今年稍早推出的通用弱點評級系統(Common Vulnerability Scoring System;CVSS),作為訂定優先順序的依據。

他說:「重大安全弱點不斷演進,複雜程度日深,一個組織不可能修補每個潛在的安全弱點。務必要把這些弱點訂出優先順序,從對網路殺傷力最大的弱點開始修補。」

Eschelbeck的研究報告係根據對3,200萬次弱點掃瞄所得到的資料分析而成。2003年和2004年的資料涵蓋全年,2005年則取前三季的資料。

我要檢舉
台長: 〥芹蟹麵〥

您可能對以下文章有興趣

人氣(161) | 回應(0)| 推薦 (0)| 收藏 (0)| 轉寄
全站分類: 數位資訊(科技、網路、通訊、家電)

我要回應
是 (若未登入"個人新聞台帳號"則看不到回覆唷!)
* 請輸入識別碼:
請輸入圖片中算式的結果(可能為0) 
(有*為必填)
TOP
詳全文