這幾天大家聽說了，一個(gè)名為CVE-2014-0160的漏洞(也被稱為“Heartbleed”)已經(jīng)對(duì)超級(jí)流行的開源OpenSSL軟件包造成了嚴(yán)重威脅，Heartbleed漏洞所衍生的危害是獨(dú)一無二前所未有的。

Heartbleed暴露了開源安全組件不為人知的黑暗面：在過去一旦發(fā)現(xiàn)這種“驚天動(dòng)地”的漏洞，總會(huì)有一個(gè)供應(yīng)商為該漏洞所造成的所有損失負(fù)責(zé)。可在此次的開源漏洞事件當(dāng)中，誰又會(huì)對(duì)相關(guān)損失負(fù)責(zé)呢?恐怕這次需要OpenSSL的用戶自己埋單了。

Heartbleed安全漏洞的爆出對(duì)NIST、FIPS 140-2審計(jì)實(shí)驗(yàn)室以及FIPS認(rèn)證市場倡導(dǎo)者而言，無疑也是一個(gè)沉重打擊。OpenSSL是第一個(gè)通過FIPS 140-2驗(yàn)證的開源模塊。毫無疑問，就強(qiáng)健性和安全性而言，F(xiàn)IPS 140-2是最令人信服的象征。然而，Heartbleed漏洞的爆出有可能會(huì)招致用戶對(duì)FIPS安全認(rèn)證的懷疑，正如曾經(jīng)的Target漏洞引發(fā)了用戶對(duì)PCI安全性的質(zhì)疑一樣。

作為全球領(lǐng)先的應(yīng)用安全和網(wǎng)絡(luò)安全解決方案提供商，Radware密切關(guān)注行業(yè)內(nèi)的重大安全事件，此次Heartbleed漏洞一經(jīng)曝出，Radware安全專家就為企業(yè)安全專家應(yīng)如何應(yīng)對(duì)此次漏洞攻擊提出了幾點(diǎn)建議：

· 做好安全預(yù)算規(guī)劃：與商業(yè)化或?qū)Ｓ薪鉀Q方案相比，應(yīng)考慮加入開源安全解決方案會(huì)增加企業(yè)的安全風(fēng)險(xiǎn)與成本，同時(shí)企業(yè)也很可能要因?yàn)橛砷_源漏洞帶來的危害而付出額外代價(jià)。基于此項(xiàng)目的TCO和ROI也可能會(huì)因此受到影響。

· 進(jìn)行安全審查：企業(yè)安全專家千萬不要被第三方審計(jì)、合規(guī)性及認(rèn)證方法所迷惑。企業(yè)安全專家一定要非常了解已知的風(fēng)險(xiǎn)，構(gòu)建適合企業(yè)的安全體系架構(gòu)，并進(jìn)行入侵測試。企業(yè)安全專家們一定要切記，在該過程中沒有免費(fèi)午餐，一定不要因小失大。

· 做好下一步防護(hù)措施：企業(yè)安全專家還需要對(duì)企業(yè)的安全架構(gòu)進(jìn)行審查。不可否認(rèn)的是，無論企業(yè)安全架構(gòu)如何，安全專家總能找到可以完善的地方。企業(yè)安全專家或許也曾考慮過Web應(yīng)用防火墻、IPS解決方案或DLP解決方案，但是不可否認(rèn)的是，這三個(gè)解決方案沒有一個(gè)是完美無缺的，唯有采用多層方法才能幫助企業(yè)轉(zhuǎn)危為安。

Radware安全專家提醒用戶謹(jǐn)記一點(diǎn)，千萬不要把所有的雞蛋放在一個(gè)籃子里。用戶在進(jìn)行網(wǎng)絡(luò)安全規(guī)劃時(shí)，一定要采用多層技術(shù)來確保數(shù)據(jù)的安全。用戶可以利用OpenSSL對(duì)敏感數(shù)據(jù)進(jìn)行加密保護(hù)，但同時(shí)需要安裝Web應(yīng)用防火墻，以便企業(yè)攔截來自網(wǎng)站的攻擊和防止數(shù)據(jù)泄露。