减少Java安全更新带来的风险

安全
安装Java安全更新可能会带来风险,那么企业还该这样做吗?本文中,专家Mike Chapple将讨论Java和合规问题。

Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。

据安全供应商Sourcefire称,91%的攻击者都是通过Java进入网络,并且Java可能牵连主要服务,例如Microsoft Office、Adobe Reader等。特别是Adobe的软件,在过去几年被黑客大量滥用,针对它的攻击数量遥遥领先。从合规的角度来看,如果企业不从其环境移除Java或者至少锁定它,企业是否面临违反HIPAA和PCI DSS等问题?

减少Java安全更新带来的风险

Mike Chapple:对于试图破坏企业系统和网络安全性的攻击者来说,Java的确是第一选择。一直以来,该平台都有需要修补的安全漏洞,世界各地的信息安全企业都知道安装Java补丁是一个噩梦。通常情况下,企业需要安装Java安全更新来避免威胁,但如果企业选择更新的话,关键应用程序将停止运行。

从合规的角度来看,并没有具体规定要从环境移除Java。然而,我们面临的挑战是,大多数法规要求企业在合理时间内部署供应商提供的安全补丁。这也给安全管理员带来进退两难的局面:运行有漏洞不合规版本的Java,还是升级和中断应用程序。这并不是一个容易的决策。

如果你能够从环境移除Java,这一定会为你节省的一些麻烦。如果这不可能实现的话,另一种办法是补偿控制。例如,PCI DSS允许你记录不能遵守该标准的情况,并部署采用额外的安全机制的补偿控制来填补这个空白。你将需要证明这种补偿控制是足够的,但这是可以实现的。

如果Java更新是不可能的,你可以尝试隔离它。而虚拟化Java应用程序或在锁定的机器(不太可能暴露Java)运行它也许可以作为另一种选择。另外,可能有办法从需要Java的业务流程移除持卡人数据,并将该应用程序拖出持卡人环境的范围。在这种情况下,笔者建议在投资于技术和设计工作之前,与QSA坐下来好好谈谈一些场景。

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2013-07-16 09:15:29

2011-08-10 10:14:11

赛门铁克Enterprise

2022-08-01 16:43:07

机器身份网络安全自动化

2010-10-26 09:35:09

2019-11-11 16:19:39

人工智能

2011-05-31 10:04:34

2011-05-31 10:11:44

2015-01-09 09:35:11

2010-03-05 10:08:24

2015-01-22 09:09:57

虚拟网络功能NFV安全风险

2023-06-27 16:33:15

2020-09-08 08:44:36

日志记录基础设施安全漏洞

2018-05-17 10:26:44

2021-04-29 14:45:29

开发代码程序

2012-04-16 16:31:17

2014-07-15 10:54:17

2012-07-10 10:08:52

2017-12-26 10:29:07

2009-06-25 09:38:55

数据库管理安全

2014-07-11 09:28:47

点赞
收藏

51CTO技术栈公众号