前に述べたように、LogicMonitorは幸運なことに、そのインフラストラクチャやサービスのいずれも脆弱ではありませんでした。 ハートブリード 脆弱性。 しかし、優れたセキュリティを備えた多くのサイトがあるという事実 影響を受けた サービスは必然的にインターネット経由で提供されることを考えると、どんなに安全であっても、ビジネス情報をSaaSプロバイダーの手に委ねるという知恵に疑問を投げかける人もいるかもしれません。
影響を受けたSaaSプロバイダーが脆弱性をほぼ即座に修正したという事実(例: ストライプ, 充電する)は、SaaSプロバイダーがそのような情報に最適であると主張しています。 LogicMonitorのようなSaaS企業のビジネス全体は、毎月、顧客の信頼を獲得し、維持する能力にかかっています。 したがって、SaaSプロバイダーは脆弱性に迅速に対応する必要があります。
これを内部でホストされているソフトウェアと比較してください。同じ緊急性はないかもしれませんが、公開が制限されているため、構内ベースのソフトウェアのセキュリティ保護には必然的に時間がかかります。ベンダーはパッチの発行に時間がかかります(当然のことながら、パッチが、顧客が実行している可能性のある無数のソフトウェアとハードウェアの構成とバージョンのすべてで機能することを確認してください。これは、 ずっと SaaSベンダーにとっては簡単です)。その場合、社内のITスタッフは、変更管理ウィンドウ中にパッチを適用する必要があります。 たとえば、VMwareには 報告 そのESXi5.5は脆弱ですが、まだ修正を発行していません。 Heartbleedが発表されるとすぐに、TechOpsチームは確かにオーバードライブに陥りました。サービスが脆弱だったとしたら、Puppetはその日にアップデートをプッシュしていたと確信しています。
Heartbleedを使用した人もいますが 位置を宣伝する すべてのオープンソースソフトウェア(多くのSaaSアプリケーションが構築されている)が本質的に信頼されていないことを証明します。脆弱性はすべてのソフトウェアに存在します。 (信じがたいですが、Windowsには 脆弱性またはXNUMXつ.)
ここでの本当の教訓は、データの安全性を維持することに強いビジネス上の関心を持つ企業が、SaaS展開で脆弱性をどれだけ迅速に修正するかと、発表後にオンプレミスソフトウェアをどれだけ迅速に保護するかを比較することだと思います。 結果はかなり明確だと思います。