其他
深X服漏洞的启示
01
安全公司需要加大对产品安全的投入
著名白帽子黑哥:“事实上目前看到的很多安全公司生产安全产品在安全性的投入上是远远不够的,近几年很多的安全公司产品成为了攻击的目标,比如FireEye、Palo Alto 等安全设备都出现过严重的安全问题,在NSA泄露的工具包里也有针对网络防火墙等安全设备的攻击程序,所以这些都说明安全产品已经成为一种研究对象。这个也就要求我们安全公司要加强对安全产品本身的安全投入,从研发安全培训到安全测试设置可以根据企业本身定制SDL等流程,最大程度地保障产品安全,显然这次事件说明深X服还需要加强产品安全的投入。
“漏洞不可怕,可怕的是对待安全的态度”, 之前我说这句话主要是针对甲方企业,当然在这里也同样适合,从这次的事件来看深X服的处置流程还是比较透明专业的,包括协助CNVD发布预警包括产品更新同步公告等等。"
”02
安全人员炫技可以,但是不要越界
1 | 多了解国内的法律法规,如《刑法》,专门规定了如下罪名:非法侵入计算机信息系统罪,破坏计算机信息系统罪,侵犯公民个人信息罪,敲诈勒索罪等,并做到知法、懂法、守法。 |
2 | 开展漏洞渗透测试相关的业务请提前取得目标客户的授权。 |
3 | 一般情况下,当发现一个漏洞之后,可以先上报国家信息安全漏洞共享平台CNVD(China National Vulnerability Database,英文简称“CNVD”),CNVD通知厂商需要在90/10天内修复,厂商采取漏洞修补或防范措施后再予以公开,这样能最大程度的保护用户的安全,同时促进整个行业有序发展。 |
求分享
求点赞
求在看