RSA2013:供应商需要新安全漏洞处理标准

安全
现在2013年度RSA信息安全大会(RSA2013)正在热烈召开,会上知名安全专家们建议软件制造商和互联网服务供应商,预定在2013年底发布的安全漏洞处理流程中,需要准备两个新的ISO标准来适应新的安全需求,其中包括了ISO 30111和ISO 29147。

现在2013年度RSA信息安全大会(RSA2013)正在热烈召开,会上知名安全专家们建议软件制造商和互联网服务供应商,预定在2013年底发布的安全漏洞处理流程中,需要准备两个新的ISO标准来适应新的安全需求,其中包括了ISO 30111和ISO 29147。

RSA2013:供应商需要新安全漏洞处理标准

RSA2013:供应商需要新安全漏洞处理标准

ISO 30111涵盖了所有漏洞处理流程中,无论是内部确认,或被外部人员报告的。

ISO 29147则涵盖了如终端用户、安全研究人员和黑客等外部人员所暴露的漏洞。

微软的高级安全策略主管兼标准制定者,凯蒂·牟索利斯(Katie Moussouris)希望,ISO 29147可以更容易地报告软件和服务的漏洞。

凯蒂告诉参加本年度旧金山RSA会议的与会者,“该标准在漏洞的风险评估和应用调整中将会起到更大的建设性意见”。

ISO 29147提供准备接受外部漏洞报告的指导方针,第一个要求是对供应商提出的,将使报告者更容易地同内部的负责人取得联系。

凯蒂说道,“漏洞发现者可以很容易地找到提交漏洞报告的门路,它必须是明显的,并是容易使用的。因为如果不是这样,他们就可能会求助于其他的渠道,如媒体或网络论坛等”。

接下来的事情就是确认收到的漏洞报告,该标准将保证报告必须在7天内完成处理。

而ISO 30111也提供了调查和修补漏洞的指导方针和建议:

1.有一个组织和过程来支持排查、整治;

2.执行根本原因分析,找出所有可能受影响的产品、服务;

3.如果漏洞影响多个产品、服务,根据严重等级来定优先级;

4.平衡解决速度——如果是高威胁,可以考虑立即采取临时的解决办法;

5.如可能与其他供应商展开协作。

当然也有几种可能,对修正不适用,如下:

1.一个无法复制的脆弱性;

2.该漏洞是已在调查中;

3.该漏洞仅影响已经过时的产品;

4.漏洞是无法利用的;

5.漏洞是在第三方产品、服务。

凯蒂期望ISO 30111能切实提高供应商展开安全漏洞的调查和整治级别,提高封堵安全漏洞的速度和质量水平。

责任编辑:蓝雨泪 来源: 中关村在线
相关推荐

2013-02-26 15:18:23

2013-02-25 20:53:10

2021-09-13 14:31:32

物联网供应商IoT

2013-03-02 18:10:42

2013-02-26 15:11:41

RSARSA2013RSA2013大会

2013-02-28 16:23:05

RSA2013东软NetEye东软安全云

2014-03-02 15:06:33

2015-08-13 10:13:44

2019-02-13 10:59:51

2012-06-08 09:31:34

UC整合UC

2019-10-24 08:41:06

供应商安全信息安全数据泄露

2013-08-12 09:13:40

2013-08-13 09:02:16

2016-10-10 23:01:48

安全认证云供应商安全评估

2011-08-02 10:52:26

2021-01-10 08:49:04

云访问安全供应商CASB

2013-08-14 09:18:42

2013-02-22 11:16:29

2013-02-27 13:57:31

2013-02-28 10:24:18

点赞
收藏

51CTO技术栈公众号