民间社会组织需要尽快采取一些措施尽可能地保护他们的组织针对动摇了高科技产业的OpenSSL的漏洞,专家说。
 |
|
 |
两个原因心脏出血漏洞并没有真正改变什么 |
|
心脏出血漏洞(CVE-2014-0160):这个问题的概述,并修复它所需的资源 |
|
下面是与心脏出血漏洞,有缺陷的网络设备的选项(提示:没有很多) |
|
你需要了解心脏出血漏洞和OpenSSL什么 |
|
心脏出血漏洞后果 - 下一步是什么? |
|
服务器制造商冲出心脏出血漏洞补丁 |
|
|
|
这个安全漏洞,被称为心脏出血漏洞,它使攻击者读取Web服务器的内存中,这通常包括私有密钥,该协议用于加密通信的服务器和浏览器之间。
该漏洞,在2011年引入的OpenSSL,影响开源实现安全套接字层(SSL)和传输层安全(TLS)协议的所有版本。OpenSSL是广泛用于Web服务器,如流行的开源Apache和云服务。
“民间组织应当假定他们已经被破坏,” W.霍德蒂普顿,国际信息系统安全认证联盟,或(ISC)2的执行董事表示。
其中是识别和组织内优先考虑受影响的系统,修补那些被认为最关键的立即面对民间组织的第一琐事,专家说。当然,这些系统对公众开放互联网进行的最大风险。
幸运的是,OpenSSL项目,协议的管家,已经发布了一个补丁,因此安全专家可以得到部署修复马上开始。
下一步将是改变由服务器所使用的SSL证书,因为没有办法知道他们是否已被泄露的方式。攻击者利用该漏洞可以这样做,不留一点痕迹。
“如果攻击者有SSL的私钥,他们可以解密任何类型的可能已经过去,并使用相同的公共/私有证书的任何未来的通信被封存通讯,”为形安全和董事长产品总监迈克尔·科茨说,的开放Web应用安全项目(OWASP)。
一旦证书已被更改,下一步是让谁使用受影响的系统更改密码的人。
“这绝对是审慎评估机构的风险状况,并决定是否要强制密码旋转你的用户群,”科茨说。
公民社会组织也应加大监管帐户接管,欺诈和滥用的系统。“我们的(安全)产生了高度肯定是,”科茨说。
从未来协议相关的漏洞减轻损害,专家建议使用完全向前保密,对浏览器和服务器之间的密钥协商协议的属性。PFS防止被用来解密通通信的泄露的私有密钥。
除了在组织内受影响的系统,民间社会组织也必须评估通过网站员工访问日常装扮成自己的工作的一部分风险。第一步是创建一个目录,这些网站并联系运营商,了解他们站在修补OpenSSL的缺陷在哪里。
在某些情况下,民间社会组织可能觉得有必要让员工不使用受影响的网站,直到它们被修补。
“对于最敏感的系统,民间社会组织应该考虑自己的人员和管理人员采取一个或两个天的沉寂,如果他们知道什么时候相关的网站将被修补,新的数字证书重发,以及新的认证证书到位”兰鲍仁斯坦,在NICE Actimize,专门从事保障金融业的营销副总裁说。
公民社会组织也应检讨与网站和软件作为一种服务提供者的服务水平协议。
“他们应该能够将这些合同中的杠杆作用的安全要求,推动了更快的周转,”卢卡斯Zaichkowsky,企业防御架构师计算机取证供应商的AccessData说。“如果它的发现,重要合同缺乏安全性的要求,使它成为一个点,让他们现在又增加了,而有紧迫性,以支持该倡议的感觉。”
这个故事,“如何抵御OpenSSL的心脏出血漏洞漏洞”最初发表CSO 。