问:据Secunia称,第三方软件漏洞造成了现在大多数用户计算机的主要缺陷。企业应该多重视第三方软件漏洞呢?另外,在修补这些漏洞时企业是否受到第三方供应商的限制?
答:Secunia ApS一直在用它的Personal Software Inspector(PSI)和Corporate Software Inspector(CSI)来跟踪和扫描Windows系统易受感染的软件。Secunia能确定过时的或易受感染的软件(传统的补丁或升级可以阻止攻击或修复漏洞)。Secunia在其2010年上半年报告中指出第三方程序(不是由微软直接支持的程序)漏洞在持续增加,这些漏洞比安装在系统上的微软软件所能扫描的漏洞要多。
企业应该加强对第三方软件补丁修复的重视,增加在补丁和系统管理产品上的投资,从而使他们能够对组织中所使用的软件进行更新。随着网络和操作系统安全性的提高,犯罪份子也一直在提升网络堆栈——脱离操作系统——来进行攻击。企业还应该重视修复Windows补丁,开发管理微软补丁的流程。一般,企业并没有很重视修复第三方软件。因此,犯罪分子开始利用第三方软件的漏洞来实施攻击。企业需要创建第三方安全策略来应对这些威胁,甚至要添加额外的管理系统,以整合第三方产品修复到他们已有的流程中。
在修复这些漏洞和防止软件利用方面,企业受到第三方供应商的支配,但也受到微软的支配。企业应当以同样的高标准(他们对微软的要求)来要求他们的软件供应商,还应该让他们的供应商知道他们需要安全的软件,如果供应商的产品不能满足这方面的要求,他们将转向其他更安全的产品。
【编辑推荐】
