如何降低甚至消除Meltdown和Spectre带来的影响,成为广大用户尤其是企业级IT用户讨论的热点。在芯片供应商、OS厂商、应用提供商已经纷纷发布针对漏洞补丁的今天,为什么它们还能引发讨论?实际上,这里存在一个矛盾点,也就是在安全性和性能之间如何选择。
在芯片供应商、OS厂商、应用提供商已经纷纷发布针对漏洞补丁的今天,为什么Meltdown和Spectre还能引发讨论?实际上,这里存在一个不可消除的矛盾点,也就是在安全性和性能之间如何选择。
第一波Spectre(幽灵)和Meltdown(熔断)攻击被击退后,大家松了一口气。但却是个错误。Spectre-Meltdown的CPU漏洞展示了攻击系统的全新方式,安全专家心里很清楚,新攻击方法的出现只是迟早的事。
安全研究人员在2018年1月发现了三种主要的攻击变种。前两个变种被称为Specter,第三种变种为Meltdown,所有三种变种都涉及代码的推测性执行,以读取应该保护的内存以及后续基于通道的攻击来推断内存内容。
几家SAN供应商宣布其系统已无需针对Spectre与Meltdown漏洞进行修补。于是我们对戴尔与Pure Storage进行了采访,询问了双方有关修复方面的影响与两家公司的SAN与戴尔方面的超融合(HCI)系统是否需要修补等问题。
近期各大新闻媒体皆在高度关注Meltdown与Spectre安全漏洞对Windows PC设备造成的影响,但可以想见,二者带来的真正隐患其实在于对服务器以及云带来的冲击。
本周对于幽灵(Spectre)和熔毁(Meltdown)处理器安全漏洞的担忧进一步延续,技术供应商和解决方案提供商在安全补丁及其可能对性能造成的影响方面遇到了越来越多的问题。
当一个重大的安全事件发生时,自然会有一种反应过度的倾向。我们建议:不要惊慌。相反,遵循这四条准则建立一个应对Meltdown和Spectre漏洞的计划,并为下一步做好准备。
RSA总裁Rohit Ghai在旧金山举行的RSA Conference大会上发表了开幕主题演讲,令人意外的是,他对这个备受困扰的网络安全行业持乐观态度。