RSA2013供应商需要新安全漏洞处理标准.pdfVIP

RSA2013:供应商需要新安全漏洞处理标准 现在2013 年度RSA 信息安全大会正在热烈召开， 会上知名安全专家们建议软件制造商和互联网服务供应 商，预定在2013 年底发布的安全漏洞处理流程中，需要准 备两个新的ISO 标准来适应新的安全需求，其中包括了 ISO30111 和ISO29147。 RSA2013:供应商需要新安全漏洞处理标准 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 1 ISO30111 涵盖了所有漏洞处理流程中，无论是内部确 认，或被外部人员报告的。 ISO29147 则涵盖了如终端用户、安全研究人员和黑客 等外部人员所暴露的漏洞。 微软的高级安全策略主管兼标准制定者，凯蒂·牟索 利斯希望，ISO29147 可以更容易地报告软件和服务的漏 洞。 凯蒂告诉参加本年度旧金山RSA 会议的与会者， “该 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 2 标准在漏洞的风险评估和应用调整中将会起到更大的建设 性意见”。 ISO29147 提供准备接受外部漏洞报告的指导方针，第 一个要求是对供应商提出的，将使报告者更容易地同内部 的负责人取得联系。 凯蒂说道， “漏洞发现者可以很容易地找到提交漏洞 报告的门路，它必须是明显的，并是容易使用的。因为如 果不是这样，他们就可能会求助于其他的渠道，如媒体或 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 3 网络论坛等”。 接下来的事情就是确认收到的漏洞报告，该标准将保 证报告必须在7 天内完成处理。 而ISO30111 也提供了调查和修补漏洞的指导方针和 建议： 1.有一个组织和过程来支持排查、整治； 2.执行根本原因分析，找出所有可能受影响的产品、 服务； ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 4 3.如果漏洞影响多个产品、服务，根据严重等级来定 优先级； 4.平衡解决速度——如果是高威胁，可以考虑立即采 取临时的解决办法； 5.如可能与其他供应商展开协作。 当然也有几种可能，对修正不适用，如下： 1.一个无法复制的脆弱性； 2.该漏洞是已在调查中； ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 5 3.该漏洞仅影响已经过时的产品； 4.漏洞是无法利用的； 5.漏洞是在第三方产品、服务。 凯蒂期望ISO3011 能切实提高供应商展开调查和整治 的级别，提高了封堵安全漏洞的速度和质量水平。 現在2013 年度RSA 信息安全大會正在熱烈召開， 會上知名安全專傢們建議軟件制造商和互聯網服務供應 商，預定在2013 年底發佈的安全漏洞處理流程中，需要準 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 6 備兩個新的ISO 標準來適應新的安全需求，其中包括瞭 ISO30111 和ISO29147。 RSA2013:供應商需要新安全漏洞處理標準 ISO30111 涵蓋瞭所有漏洞處理流程中，無論是內部確 認，或被外部人員報告的。 ISO29147 則涵蓋瞭如終端用戶、安全研究人員和黑客 等外部人員所暴露的漏洞。 微軟的高級安全策略主管兼標準制定者，凱蒂 ·牟索 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 7 利斯希望，ISO29147 可以更容易地報告軟件和服務的漏 洞。 凱蒂告訴參