微軟提出對抗漏洞新策略

微軟的開發性指數(Exploitability Index)主要是幫助IT 管理員,依程式漏洞的大小來決定修補的順序。

在星期二黑帽安全大會(Black Hat security conference)上,微軟推出新的措施,來幫助IT 管理員評估軟體漏洞的程度,及和其它廠商分享資訊安全議題。

微軟資訊安全部門經理Mike Reavey解釋:「微軟開發性指數的目的是提供顧客額外的資訊,以協助商務人士決定修補程試的優先次序。」

該開發性指數是微軟用來對付一個不幸且可預期的模式:微軟發表一個安全公告欄(Security Bulletin) 及網絡罪犯,來發覺新發現的漏洞。

從十月修補週期(October patch cycle)開始,微軟計劃開始對漏洞被發現的可能性作排名。這可以幫助管理員決定修補的順序。

漏洞有三個等級:可能結果一致(Consistent Exploit Code Likely),可能結果不一致 (Inconsistent Exploit Code Likely),和不太可能運作(Functioning Exploit Code Unlikely)。第一程漏洞如果被攻擊將會產生一致的結果;第二程漏洞會不但難以被發現而且還會產不一致的結果;第三種漏洞更難被查覺,因此也難馬上補起來。

核心安全的產品管理副總裁Fred Pinkett相信,如果微軟能提供正確的資訊,那將是很有用的。他在電子郵件中表示:「我們將會長期觀察微軟所做的漏洞等級和其它評比的關係,看看那是否能提供新的資訊,或者只是重申已知訊息。更重要的是能不能正確的預測出漏洞被攻擊的可能,事實上已證明它的難度。」

微軟也提及往開放微軟主動保護方案(Microsoft Active Protections Program)給想提早得到微軟修補程式的資訊安全廠商。

要加入十月開始的微軟主動保護方案,公司一定要提供能夠保護微軟大量用戶的軟體。微軟並沒對「大量用戶」做進一步的定義。有興趣的公司可以向mapp@microsoft.com 獲取詳細資訊。

Reavey 表示這個新的措施表示微軟對六年來可信賴網路(Trustworthy Computing) 的提倡。他說:微軟已經對安全上做出努力,數據上顯示,安裝Windows Vista系統的電腦受病毒感染的機率比Windows XP要減少60%。但是,威脅仍然存在;每123台電腦中就有一台會中毒。

根據2008 年InformationWeek Strategic 問卷調查,資訊安全是IT專業人員面臨最重要的課題。結果也表示,政府或是產業規範可能也不能夠提供足夠準則。有興趣的可以在downloading an InformationWeek Analytics 可以看到更多的訊息。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416