网络信息安全企业“立身之本”
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络信息安全企业“立身之本”
作者: 张帅
近日,绿盟科技在安全测试中发现思科存在远程缓冲区溢出漏洞,对于发现如此严重的漏洞,很多网友关心是什么让绿盟科技可以及时发现如此严重的安全漏洞?
杨冀龙:绿盟科技一直有专业的漏洞分析人员对安全漏洞不断进行发掘和分析,可以说是一种厚积薄发。这不仅仅是针对思科,对很多产品我们都有专门的工程师在研究跟踪。我们在微软、IBM、HP、SUN等厂商的许多软件系统中都发现过漏洞,并及时和厂商取得了联系,协助厂商修正了这些安全问题。
IT专家网:漏洞发掘人员在整个绿盟科技团队中占什么比例呢?
汪列军:绿盟科技有专门的漏洞分析团队,由十多位经验丰富的安全研究员组成,主要负责安全漏洞的分析,并把分析结果应用到产品中,如IDS、IPS、漏洞扫描器,以此提高产品的检测和防护能力,同时漏洞发掘也是团队工作的重要组成部分。当然漏洞发掘有很多方法,例如源代码审核、黑盒测试等。我们会收集目前流行的网络应用服务及软件,通过检查源代码或底层指令来发现存在的漏洞,采用手工或自动化的工具构造的畸形数据触发漏洞,彻底了解漏洞相关的技术细节,把我们的发现通知相关的厂商并运用到我们的产品中,为我们的用户提供最及时的保护。除了主动地有意识地去发现主流软硬件系统中的漏洞外,在对已知漏洞的分析过程中,也很有可能发现新的安全漏洞。
IT专家网:厂商现在是如何定义漏洞呢?
汪列军:由于软硬件设计实现上的问题,导致系统容易遭受攻击,使攻击者获得对系统某种系统设计者意图之外的影响,比如获取某种程度的非授权访问、导致系统不可用等等,我们会把它定义为漏洞。重要的是漏洞的确实性需要得到系统厂商的确认并提供相应的解决方案,我们知道漏洞是软件BUG的一小部分,并不是所有BUG都是漏洞。
IT专家网:对如今的0-day漏洞如何看呢?
汪列军:必须看到,如今的漏洞利用已经成为产业化了的地下网络犯罪的重要一环,漏洞的发现和利用一旦与经济利益联系到一起,很多漏洞的研究者就不会去主动公布发现的漏洞。而一些厂商对漏洞的存在未给予高度的重视,对漏洞处理反馈采取消极的态度,这也使得很多漏洞发掘者不愿去选择对厂商进行公开。当对漏洞的利用在“野外”被发现之时,漏洞已经为挖掘者带来了很多灰色收入。
IT专家网:这是否表明绿盟科技的漏洞挖掘能力接近或已经达到国际先进水平?
汪列军:从每年新发现漏洞的数量和威胁程度上来看,我们与国际上大的安全厂商处在同一数量级上,因此我认为,在漏洞的发掘能力方面,绿盟科技和世界领先水平已经不相上下。
IT专家网:您认为目前网络信息安全现状是否乐观?能否举例说明?
杨冀龙:很不乐观,挂马事件的不断增多,以及各种木马病毒的快速传播,已经对用户个人的信息安全产生了相当严重的威胁。据不完全统计,90%的个人计算机都曾经遭受过木马及恶意软件的攻击。这样的现状十分令人担忧。
IT专家网:到底什么堪称是网络信息安全企业的核心竞争力?
汪列军:不同的企业核心竞争力也不一样,绿盟科技的核心竞争力是我们的安全技术,绿盟科技有一群十分优秀的安全研究人员以及细致扎实的工作作风来巩固和提高自己的核心技术的竞争力。绿盟科技也是一直本着技术创新为主的企业。
IT专家网:绿盟科技今年有哪些突破和创新?
杨冀龙:在漏洞检测方面,我们的一些检测设备和方法越来越成熟,在其他安全防护方面,我们的新产品也陆续推出,并得到了很好的实施效果。很多用户也看到了黑洞抗拒绝服务攻击产品和安全岛解决方案已经取得了电信级用户的信赖。在漏洞研究方面,我们维护着
一个公开的上万条规模的的漏洞库数据,是国际上最大的中文安全漏洞信息资源,被各种厂商、机构、媒体广泛引用,已经成为漏洞信息方面事实上的标准。
IT专家网:如何评价一个好的中文漏洞库?
汪列军:漏洞数据库的创建和维护是一件需要大量精力的工作,只有长期的研究投入、坚定的决心和毅力才能做好,一个好的数据库应该在如下几方面有所体现:一是漏洞涉及到应用的覆盖面广。互联网对社会生活的介入方方面面,各种应用多如牛毛且千差万别,好的漏洞数据库应该覆盖尽可能多的应用程序、操作系统和网络设备,使用户能尽可能多地了解攻击者潜在的入侵途径。
二是漏洞描述信息的准确性高。用户需要准确的漏洞描述信息,特别是漏洞影响的软件版本信息、漏洞可能造成的威胁情况、是否可远程利用及相应修补方案,解决方案不仅提供补丁的下载地址,最好还能提供暂时不能安装补丁时的临时解决方法及相应的操作指示。
三是漏洞数据库需要最及时地提供信息。每个工作日都应该向用户提供最新的漏洞信息,在第一时间帮助用户修补安全威胁,在攻击者之前采取行动。
四是漏洞数据库必须提供完全的信息。数据库应该提供漏洞相关的利用方法和攻击代码,隐藏漏洞相关的已经公开的攻击方法,无助于为用户提供更多的保护,因为攻击者一般都会密切关注攻击代码,不会因为漏洞库不收录那些信息而不了解,而用户则可能不太关心攻击。不在漏洞信息中包含攻击方法内容,只会给用户以漏洞还没有确切利用方法的错觉,从而降低他们对漏洞进行处理的优先级。
绿盟科技的漏洞数据库向社会公众完全公开,我们欢迎用户访问绿盟科技的网站,查询检索安全威胁信息并采取相应的解决方案,从而降低自身受到基于安全漏洞攻击的威胁,最大限度地保护用户资产,保证业务系统顺利运行。我们也一直并希望继续为业内的其他公司和机构开放这一资源,这也是我们为国内的信息安全行业的发展做出的一份贡献。
嘉宾简介:
杨冀龙
绿盟科技开发部产品经理。长期负责“极光远程安全评估系统”的研发工作,绿盟科技安全小组成员,除产品研发外,精通攻防技术,擅长漏洞发掘和分析利用,发现过IBMAIX、HP-UX、Sun Solaris等方面的多个安全漏洞。
汪列军
绿盟科技研究部产品研究经理。资深的网络安全研究人员,在漏洞分析、渗透测试、NIDS的规划设计方面有多年的经验。