問(wèn)：據(jù)Secunia稱，第三方軟件漏洞造成了現(xiàn)在大多數(shù)用戶計(jì)算機(jī)的主要缺陷。企業(yè)應(yīng)該多重視第三方軟件漏洞呢？另外，在修補(bǔ)這些漏洞時(shí)企業(yè)是否受到第三方供應(yīng)商的限制？

答：Secunia ApS一直在用它的Personal Software Inspector（PSI）和Corporate Software Inspector（CSI）來(lái)跟蹤和掃描Windows系統(tǒng)易受感染的軟件。Secunia能確定過(guò)時(shí)的或易受感染的軟件（傳統(tǒng)的補(bǔ)丁或升級(jí)可以阻止攻擊或修復(fù)漏洞）。Secunia在其2010年上半年報(bào)告中指出第三方程序（不是由微軟直接支持的程序）漏洞在持續(xù)增加，這些漏洞比安裝在系統(tǒng)上的微軟軟件所能掃描的漏洞要多。

企業(yè)應(yīng)該加強(qiáng)對(duì)第三方軟件補(bǔ)丁修復(fù)的重視，增加在補(bǔ)丁和系統(tǒng)管理產(chǎn)品上的投資，從而使他們能夠?qū)M織中所使用的軟件進(jìn)行更新。隨著網(wǎng)絡(luò)和操作系統(tǒng)安全性的提高，犯罪份子也一直在提升網(wǎng)絡(luò)堆棧——脫離操作系統(tǒng)——來(lái)進(jìn)行攻擊。企業(yè)還應(yīng)該重視修復(fù)Windows補(bǔ)丁，開發(fā)管理微軟補(bǔ)丁的流程。一般，企業(yè)并沒(méi)有很重視修復(fù)第三方軟件。因此，犯罪分子開始利用第三方軟件的漏洞來(lái)實(shí)施攻擊。企業(yè)需要?jiǎng)?chuàng)建第三方安全策略來(lái)應(yīng)對(duì)這些威脅，甚至要添加額外的管理系統(tǒng)，以整合第三方產(chǎn)品修復(fù)到他們已有的流程中。

在修復(fù)這些漏洞和防止軟件利用方面，企業(yè)受到第三方供應(yīng)商的支配，但也受到微軟的支配。企業(yè)應(yīng)當(dāng)以同樣的高標(biāo)準(zhǔn)（他們對(duì)微軟的要求）來(lái)要求他們的軟件供應(yīng)商，還應(yīng)該讓他們的供應(yīng)商知道他們需要安全的軟件，如果供應(yīng)商的產(chǎn)品不能滿足這方面的要求，他們將轉(zhuǎn)向其他更安全的產(chǎn)品。

【編輯推薦】

1. 第三方軟件漏洞成黑客攻擊主要對(duì)象
2. 軟件的安全尷尬：破鼓自有萬(wàn)人錘