安全更新很困难 但不打补丁风险更大

简介:

近来,联想自动更新系统的恶意软件问题让一些人开始担心自动更新相关的风险。但专家称,现在的安全更新程序比以往都更好,而不修复漏洞的风险更大。

安全更新很困难 但不打补丁风险更大

当联想公司最近发现其System Update程序(用于自动修复其很多笔记本电脑的漏洞)有严重的安全漏洞后,他们很快修复了其更新程序。但由于联想修复的这三个漏洞很严重,这让很多人开始担忧自动系统更新是否能提供足够的安全性,毕竟现在越来越多的系统(包括即将推出的Windows 10)正转移到自动化更新机制。

I Am The Cavalry创始人Josh Corman称,其实IT不需要太过担忧。因为糟糕或恶意更新(例如2012年假的Firefox更新)的历史让管理员对更新问题非常谨慎。

“如果你要运行软件,而软件会出故障,你需要有办法来应对这个故障,”Corman称,“有时候人们不会安装补丁,因为这会破坏他们的系统。这样的话,你可能会受到攻击,而且你还可能影响生产中的服务器。”

Corman称,大家不应该担忧自动更新系统的风险,虽然自动更新服务确实会引入某种远程攻击面,但其优势远远超过了风险。

“我们从过去的很多错误中学习了经验教训,并且,整个行业作为整体已经学习了如何稳定地安全地进行远程更新,”Corman称,“这并不意味着每个人都会这样做,但我更愿意鼓励人们部署更新系统,而不是避免任何部署。”

提供安全更新

对此,部署应该是关键,因为Corman和其他专家都认为虽然自动更新系统存在风险,包括潜在的中间人攻击或者更新被恶意软件拦截,但很多这些风险都是因为对更新程序的不当部署,而不是更新本身的问题。

“基本加密机制并没有问题,我不认为已经有人攻破了这个机制,真正的问题通常在于部署过程,”Qualys公司首席技术官Wolfgang Kandek称,“我知道密码学家都在谈论量子计算可能打破密码学,并取代它,但据我们所知,现在这个技术还没有实现。”

Corman称交付更新需要稳定的架构,这样更新就不会导致设备故障;安全,意味着不要以纯文本或无数字签名传输更新;可靠,意味着在签名或交付之前需要检查软件的真实性和质量。

“如果你能以稳定和可重复的方式通过安全通道提供真正的更新,那这就是前进的道路,因为你始终需要更新,”Corman称,“但你不能不更新,尽管做这些事情可能很难,但这仍然是必要的事情。”

Kandek同意称,为提供更新创建一个安全的过程可能很困难,而软件供应商简化这个工作的一种做法是尽可能多地依靠集中更新机制,例如Windows或Mac应用商店,或者甚至是Chrome Updater系统—谷歌已经使其开源化。

“这很难做好,”Kandek称,“如果你想要涵盖所有这些基础,这是非常复杂的问题,作为企业,这并不是真正值得投资,企业只要利用现有的机制即可。”

Corman同意称,这里需要一个稳定的集中更新机制,但也警告说,由于目前有很多不同的技术平台,特别是对于工业控制系统,不太可能存在单个更新程序适合所有人。


作者:Michael Heller 翻译:邹铮


来源:51CTO


相关文章
|
5月前
|
运维 供应链 安全
构建网络环境的铜墙铁壁:从微软蓝屏事件反思系统安全与稳定性
【7月更文第22天】近期,一起由软件更新引发的“微软蓝屏”事件震撼全球,凸显了现代IT基础设施在面对意外挑战时的脆弱性。此事件不仅影响了数百万台设备,还波及航空、医疗、传媒等多个关键领域,造成了难以估量的经济损失和社会影响。面对这样的挑战,如何构建更为稳固和安全的网络环境,成为了全球IT行业共同面临的紧迫任务。
87 3
|
4月前
|
运维 监控 安全
什么是基于风险的漏洞管理RBVM及其优势
RBVM(Risk-based Vulnerability Management)是基于风险的漏洞管理,RBVM方法不是简单地修补所有漏洞,而是关注那些实际可利用的、对组织构成风险的漏洞。这种方法通过分析内部资产、攻击者活动以及威胁情报馈送(特别是漏洞情报),来确定哪些漏洞是需要优先处理的。是一种更加智能化和策略性的方法来识别、评估、优先级排序和修复组织中的安全漏洞。
73 3
什么是基于风险的漏洞管理RBVM及其优势
|
7月前
|
监控 测试技术
软件项目开发中会遇到哪些风险,如何才能降低这些风险呢?
软件项目开发中会遇到哪些风险,如何才能降低这些风险呢?
125 0
|
人工智能 监控 供应链
应对2023年不可避免的数据泄露的5个步骤
应对2023年不可避免的数据泄露的5个步骤
187 0
软件项目常见风险及其预防措施
(1)合同风险 签订的合同不科学、不严谨,项目边界和各方面责任界定不清楚等是影响项目成败的重大因素之一。 预防这种风险的办法是项目建设之初项目经理就需要全面准确地了解合同各条款的内容、尽早和合同各方就模糊或不明确的条款签订补充协议。
6749 0
|
安全 网络安全
企业需要优先修补与勒索软件相关的漏洞
企业需要优先修补与勒索软件相关的漏洞
146 0
|
云安全 机器学习/深度学习 分布式计算
与时间赛跑,解密虚拟补丁-面对快速集成0Nday的团伙如何防御
近日,阿里云安全监测到利用Atlassian Confluence 远程代码执行漏洞传播的僵尸网络随PoC公布后攻击与入侵量大幅上升
705 0
与时间赛跑,解密虚拟补丁-面对快速集成0Nday的团伙如何防御
|
安全 云安全 数据格式
watchbog再升级,企业黄金修补期不断缩小,或面临蠕虫和恶意攻击
如果用户没有在8月9日-8月21日这个黄金时间内对漏洞进行修补,则可能遭到定向攻击者的成功攻击。而在9月6日后,存在漏洞并且还未修复的用户,面对僵尸网络不停的扫描,几乎没有侥幸逃过攻击的可能性。
2304 0
|
Web App开发 SQL 安全
IBM:2009年软件漏洞下降 其他风险增多
据国外媒体报道,IBM发布的年度《X-Force Trend and Risk Report》显示,2009年软件漏洞的数量整体上有所下降,而文件阅读器及多媒体应用程序的故障数量增长50%。
966 0
下一篇
无影云桌面