发现的软件缺陷的年限也清楚地表明了检测漏洞的难度:在检查时,这些缺陷的平均年限已超过五年。
报告称:“这表明,漏洞的存在,因为他们要么不知道所用软件中存在相关组件,要么没有检查公共资源中有关组件漏洞的信息。”
系统甚至可以隐藏非常严重的安全漏洞。据 Black Duck Software 称,10% 的应用程序包含 Heartbleed OpenSSL 漏洞,近 10% 的应用程序容易受到 TLS 协议实现中的 POODLE 漏洞的影响。
最后,该公司发现,在扫描中发现的漏洞中,近 40% 的通用漏洞评分系统 (CVSS) 评分超过 7 分。
Black Duck Software 公司产品战略副总裁 Mike Pittenger 认为,问题的核心不 柬埔寨电报数据 在于开源软件的使用,而是缺乏有关其使用的信息以及对新发现的漏洞缺乏认识。
APCS 的网络安全和文化问题
评论:IT 安全,2016 年 4 月
德米特里·亚鲁舍夫斯基| 2016 年 5 月 4 日
增加
根据一个常见的定义,文化是一套基于符号思维和社会学习的知识、信仰和行为。在国外的实践中,“信息安全文化”这一术语不仅用来描述信息安全政策(以下简称IS)等文件所规定的要求和实施的技术解决方案和措施的总和,而且还用来描述各级设施中如何实际解决IS问题的总和。换句话说,网络安全文化是指与信息安全相关的、旨在保护资产的程序和流程的实际执行方式,所有员工在确保信息安全的过程中参与程度如何(以及取得了哪些成功)等。这一术语在国内实践中尚未扎根,但“文化方面”的影响不仅在企业系统的信息安全中显而易见,而且在自动化过程控制系统(APCS)的保护领域也显而易见。
安全须知
在过去三年中,我和我的同事对十二个客户组织的五十多个生产设施的自动化过程控制系统进行了调查。这些设施都没有任何组织或管理文件,甚至都没有任何关于 APCS 中信息保护流程(信息安全、网络安全等)的要求、组织和实施的描述。当然,有通用的信息安全政策、授予访问权限的一般程序、密码保护规定等等,但令人惊讶的事实是,只有在企业环境中才对严格遵守这些政策进行规定。一旦我们开始谈论自动化过程控制系统,细微差别就开始出现了。有时还非常有趣。例如,在某个设施中,信息安全专家认为,APCS 中不存在任何需要保护的信息:他们认为“根本没有信息,只有数据”。由于这种“信念”,所有定义该设施信息安全要求和程序的组织和管理文件都包含以下条款:“自动化过程控制系统除外”。同时,上述文件和要求是无法替代的——设施自动化系统中的信息安全问题没有得到任何形式的正规化或规范。