警惕!安裝Java安全更新或帶來風(fēng)險
責(zé)編:admin |2014-08-20 14:29:31據(jù)安全供應(yīng)商Sourcefire稱,91%的攻擊者都是通過Java進(jìn)入網(wǎng)絡(luò),并且Java可能牽連主要服務(wù),例如Microsoft Office、Adobe Reader等。特別是Adobe的軟件,在過去幾年被黑客大量濫用,針對它的攻擊數(shù)量遙遙領(lǐng)先。從合規(guī)的角度來看,如果企業(yè)不從其環(huán)境移除Java或者至少鎖定它,企業(yè)是否面臨違反HIPAA和PCI DSS等問題?
Mike Chapple(Mike Chapple, CISSP,University of Notre Dame的IT安全專家。他曾擔(dān)任國家安全局和美國空軍的信息安全研究員。):對于試圖破壞企業(yè)系統(tǒng)和網(wǎng)絡(luò)安全性的攻擊者來說,Java的確是第一選擇。一直以來,該平臺都有需要修補的安全漏洞,世界各地的信息安全企業(yè)都知道安裝Java補丁是一個噩夢。通常情況下,企業(yè)需要安裝Java安全更新來避免威脅,但如果企業(yè)選擇更新的話,關(guān)鍵應(yīng)用程序?qū)⑼V惯\行。
從合規(guī)的角度來看,并沒有具體規(guī)定要從環(huán)境移除Java。然而,我們面臨的挑戰(zhàn)是,大多數(shù)法規(guī)要求企業(yè)在合理時間內(nèi)部署供應(yīng)商提供的安全補丁。這也給安全管理員帶來進(jìn)退兩難的局面:運行有漏洞不合規(guī)版本的Java,還是升級和中斷應(yīng)用程序。這并不是一個容易的決策。
如果你能夠從環(huán)境移除Java,這一定會為你節(jié)省的一些麻煩。如果這不可能實現(xiàn)的話,另一種辦法是補償控制。例如,PCI DSS允許你記錄不能遵守該標(biāo)準(zhǔn)的情況,并部署采用額外的安全機制的補償控制來填補這個空白。你將需要證明這種補償控制是足夠的,但這是可以實現(xiàn)的。
如果Java更新是不可能的,你可以嘗試隔離它。而虛擬化Java應(yīng)用程序或在鎖定的機器(不太可能暴露Java)運行它也許可以作為另一種選擇。另外,可能有辦法從需要Java的業(yè)務(wù)流程移除持卡人數(shù)據(jù),并將該應(yīng)用程序拖出持卡人環(huán)境的范圍。在這種情況下,筆者建議在投資于技術(shù)和設(shè)計工作之前,與QSA坐下來好好談?wù)勔恍﹫鼍啊?/p>
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧