从OpenSSL漏洞观察各甲方响应质量
发布时间:2022-05-09 09:32:05 所属栏目:安全 来源:互联网
导读:互联网上信息传播速度和影响力比以前增长了不啻数倍,甲方在响应漏洞的时候,咱得跟上节奏,否则就可能被曝光了,在大水军的推动下,安全行业已经升华为情报行业了,嗯,通俗的说就是安全和娱乐挂钩,优雅点就是安全要接地气,要深入群众深入平常百姓。只要
|
互联网上信息传播速度和影响力比以前增长了不啻数倍,甲方在响应漏洞的时候,咱得跟上节奏,否则就可能被曝光了,在大水军的推动下,安全行业已经升华为情报行业了,嗯,通俗的说就是安全和娱乐挂钩,优雅点就是安全要接地气,要深入群众深入平常百姓。只要公司所在的领域竞争足够激烈,一定会有人帮你找漏洞的,也一定会有人帮你打广告,因为对他们来说,这是项目,这是KPI,这是人民币,咱需要,他们也同样需要。 心血漏洞已经被媒体撩hi了,互联网媒体报道了,传统媒体也报道了,当老板过问此事的时候,咱的回答也大概反应了咱的专业程度。 要快速,有效的处理openssl heartbeat这类漏洞,建议考虑下面几点: 1、处理思路 有轻重缓急吗?如果老板问起的时候只处理了下面环节中的部分,也是说的过去的,但得思路清晰,有时间点。 公开的https 默认端口–>公开的smtps pops–>公开的https非默认端口–>公开的smtps pops非默认端口 接着按照上面的优先级处理非公开的的SSL。 2、处理要点 能配置解决就配置解决。例如关闭某些应用的TLS支持。 能把公开的变成非公开的争取时间也行。例如加ACL,至于黑客在内部可以绕过ACL了,那是另外的问题了。 要备份原有的ssl库(因为有可能用了新库可能会导致业务不稳定的,要做好回滚的准备,哪怕只是yum update openssl一下) 3、后话 端口扫描看似简单,我知道的端口扫描这事运营的好的公司真不多,我个人认为端口扫描是安全团队基础安全能力的重要体现,共勉之! (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐