Jennifer Yeh
在星期二黑帽安全大會(Black Hat security conference)上,微軟推出新的措施,來幫助 IT 管理員評估軟體漏洞的程度,及和其它廠商分享資訊安全議題。
微軟資訊安全部門經理 Mike Reavey 解釋:「微軟開發性指數的目的是提供顧客額外的資訊,以協助商務人士決定修補程試的優先次序。」
該開發性指數是微軟用來對付一個不幸且可預期的模式:微軟發表一個安全公告欄 (Security Bulletin) 及網絡罪犯,來發覺新發現的漏洞。
從十月修補週期 (October patch cycle)開始,微軟計劃開始對漏洞被發現的可能性作排名。這可以幫助管理員決定修補的順序。
漏洞有三個等級:可能結果一致 (Consistent Exploit Code Likely),可能結果不一致 (Inconsistent Exploit Code Likely),和不太可能運作 (Functioning Exploit Code Unlikely) 。第一程漏洞如果被攻擊將會產生一致的結果;第二程漏洞會不但難以被發現而且還會產不一致的結果;第三種漏洞更難被查覺,因此也難馬上補起來。
核心安全的產品管理副總裁 Fred Pinkett 相信,如果微軟能提供正確的資訊,那將是很有用的。他在電子郵件中表示:「我們將會長期觀察微軟所做的漏洞等級和其它評比的關係,看看那是否能提供新的資訊,或者只是重申已知訊息。更重要的是能不能正確的預測出漏洞被攻擊的可能,事實上已證明它的難度。」
微軟也提及往開放微軟主動保護方案 (Microsoft Active Protections Program) 給想提早得到微軟修補程式的資訊安全廠商。
要加入十月開始的微軟主動保護方案,公司一定要提供能夠保護微軟大量用戶的軟體。微軟並沒對「大量用戶」做進一步的定義。有興趣的公司可以向 mapp@microsoft.com 獲取詳細資訊。
Reavey 表示這個新的措施表示微軟對六年來可信賴網路 (Trustworthy Computing) 的提倡。他說:微軟已經對安全上做出努力,數據上顯示,安裝 Windows Vista 系統的電腦受病毒感染的機率比 Windows XP 要減少 60% 。但是,威脅仍然存在;每 123 台電腦中就有一台會中毒。
根據 2008 年 InformationWeek Strategic 問卷調查,資訊安全是 IT 專業人員面臨最重要的課題。結果也表示,政府或是產業規範可能也不能夠提供足夠準則。有興趣的可以在 downloading an InformationWeek Analytics 可以看到更多的訊息。