日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
類似CVE的云系統(tǒng)安全解決方案出現(xiàn)

已有22年歷史的通用漏洞披露(CVE)系統(tǒng)存在巨大短板,無法有效解決數(shù)百萬應(yīng)用程序和后端服務(wù)的云服務(wù)中存在的危險缺陷。云提供商通過不共享在其平臺上發(fā)現(xiàn)的錯誤的詳細信息往往會讓客戶承受一定的風險。

創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù),包含不限于網(wǎng)站建設(shè)、成都網(wǎng)站建設(shè)、遜克網(wǎng)絡(luò)推廣、重慶小程序開發(fā)公司、遜克網(wǎng)絡(luò)營銷、遜克企業(yè)策劃、遜克品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等,從售前售中售后,我們都將竭誠為您服務(wù),您的肯定,是我們最大的嘉獎;創(chuàng)新互聯(lián)為所有大學生創(chuàng)業(yè)者提供遜克建站搭建服務(wù),24小時服務(wù)熱線:028-86922220,官方網(wǎng)址:www.cdcxhl.com

因此必須存在類似于CVE的云錯誤管理方法,以幫助客戶權(quán)衡暴露、影響和降低風險。這是越來越多的安全公司在推動更好的云漏洞和風險管理的觀點。他們爭辯說,由于按照CVE識別規(guī)則,僅有最終用戶和網(wǎng)絡(luò)管理員可以通過分配的CVE跟蹤號碼直接管理的漏洞,因此當前模型需要被打破了。

CVE系統(tǒng)背后的非營利組織MITRE不為被視為云提供商負責的安全問題指定CVE ID。假設(shè)是,云提供商擁有這個問題,那么分配非客戶控制或由管理員修補的CVE不屬于CVE系統(tǒng)的權(quán)限范圍。

Summit Route的云安全研究員Scott Piper在最近的一篇博客中寫道:這是一個錯誤的假設(shè),即所有問題都可以由云提供商解決,因此不需要跟蹤號碼。這種觀點有時是不正確的,因為即使云提供商可以解決這個問題,相關(guān)人士仍然認為它值得被記錄。

Piper的批評是他介紹數(shù)十個記錄在案的云服務(wù)提供商錯誤實例的精選列表的一部分,他通過如下的真實案例來進行了驗證。例如,在過去的一年里,亞馬遜網(wǎng)絡(luò)服務(wù)扼殺了一系列跨帳戶漏洞。此外,微軟最近修補了兩個討厭的Azure錯誤(ChaosDB和OMIGOD)。而且在去年,Alphabet的谷歌云平臺處理了一些錯誤,包括政策旁路缺陷。

云安全公司W(wǎng)iz的云研究人員Alon Schindel和Shir Tamari在一篇帖子中寫道:隨著技術(shù)人員不斷地發(fā)現(xiàn)新型漏洞,專家們發(fā)現(xiàn)了越來越多的問題不符合當前[MITRE CVE報告]模型。因此安全行業(yè)呼吁采取行動:需要一個集中式的云漏洞數(shù)據(jù)庫。

研究人員承認,云服務(wù)提供商確實能夠?qū)υ棋e誤夠做出快速反應(yīng),并迅速解決問題。然而,識別、跟蹤和幫助受影響者評估風險的過程依然需要簡化。例如:當研究人員在8月份發(fā)現(xiàn)一系列跨帳戶AWS漏洞時,亞馬遜通過更改AWS(亞馬遜WEB服務(wù))默認值和更新用戶設(shè)置指南迅速采取行動來解決該漏洞。接下來,AWS又及時向受影響的客戶發(fā)送了電子郵件,郵件中敦促他們更新任何易受攻擊的配置。

但是上述的做法也存在一定的問題,即許多用戶不知道脆弱的配置以及他們在面臨漏洞時應(yīng)該采取何種響應(yīng)行動。要么這封電子郵件從未發(fā)送給合適的人,要么迷失在其他問題的海洋中。Schindel和Tamari寫道。研究人員表示,在云方面,受影響的用戶應(yīng)該能夠輕松跟蹤漏洞,以及其組織中是否已經(jīng)解決,以及哪些云資源已經(jīng)范圍和修復。

云錯誤的CVE方法還得到了云安全聯(lián)盟(CSA)的支持,該聯(lián)盟將谷歌、微軟和甲骨文視為執(zhí)行成員。

Cloud Bug CVE方法:共享行業(yè)目標

這些努力有許多相同的目標,包括:

  • 所有云服務(wù)提供商使用的標準化通知渠道。
  • 標準化的錯誤或問題跟蹤。
  • 力度評分,以幫助確定緩解工作的優(yōu)先級。
  • 漏洞及其檢測的透明度。

8月,Brian Martin在他的博客Curmudgeonly Ways上指出,MITRE涵蓋云漏洞的歷史好壞參半。有時,一些CVE(編輯)委員會主張將CVE擴展到云漏洞,而另一些則反對。至少有一名倡導CVE覆蓋的人表示,他們應(yīng)該獲得CVE ID,[與]其他支持和不同意這樣的想法,即如果云被覆蓋,[這些錯誤]應(yīng)該獲得自己的ID計劃。他寫道。

Martin還指出,即使創(chuàng)建了類似CVE的系統(tǒng),問題仍然存在:誰來運行它?他認為:唯一比這樣一個項目沒有啟動更糟糕的是,它確實啟動,成為安全計劃的重要組成部分,然后因為各種原因無法進行下去直到消失。

7月,在CSA的主持下,全球安全數(shù)據(jù)庫工作組被特許將擴大CVE跟蹤的想法更進一步。其目標是提供CVE的替代方案,以及該小組提出的所謂一刀切的漏洞識別方法。工作組認為,云遷移帶來的IT基礎(chǔ)設(shè)施的“按需”性質(zhì)和持續(xù)增長要求網(wǎng)絡(luò)安全的相應(yīng)成熟。

CSA聯(lián)合創(chuàng)始人兼首席執(zhí)行官Jim Reavis在介紹工作組時說:我們可以看到的是,我們需要弄清楚如何為軟件、服務(wù)和其他IT基礎(chǔ)設(shè)施中的漏洞創(chuàng)建與現(xiàn)有的技術(shù)數(shù)量成正比的標識符。共同的設(shè)計目標是使漏洞標識符易于發(fā)現(xiàn)、快速分配、可更新和公開可用——不僅在云端,同時也在跨IT基礎(chǔ)設(shè)施中。

本文來源于:https://threatpost.com/cve-cloud-bug-system/179394/如若轉(zhuǎn)載,請注明原文地址。


文章題目:類似CVE的云系統(tǒng)安全解決方案出現(xiàn)
標題URL:http://www.dlmjj.cn/article/cdjcsoc.html