To be ,or not to be 。安全漏洞修还是不修,是一个问题,是一个大难题。
随着信息安全越来越得到重视,安全漏洞发现的越来越多,但是安全管理者会随之发现一个难题,就是漏洞难修。
但凡稍微重视信息安全,上一些安全产品,做一些扫描,就会发现铺天盖地的漏洞。真的要修,会发现很难。系统级的漏洞相对好修一些,打补丁就好。应用层漏洞往往可能对业务有影响,甚至要改代码。如果是自研的相对还好,如果是外采的,可能还会产生费用。
针对漏洞,有几种策略。第一是中高危漏洞必须修,不带问题运行。这个需要领导层强力支持,往往在一些强监管的行业可以落地,比如金融行业。
第二是对漏洞分级分类,优先修复对外系统漏洞,对内系统漏洞优先级降低。有百分之30%的企业采用这样的策略。
第三是能修就修,同时加安全防护措施,比如部署WAF,上入侵检查设备。大部分行业采用这样的策略。有百分之30%的企业采用这样的策略。
第四是听之任之和漏洞共处。有百分之40%的企业采用这样的策略。
漏洞修的多,自然发生问题的概率就小很多。从来不修漏洞,迟早会发生安全事件。只是第四种情况,发生了安全事件通常能承受。
真的要解决漏洞问题,是一个长期的过程。首先还是领导重视,愿意投入。否则任何漏洞解决方案都是难以执行。其次是建立漏洞规范,对漏洞分级,并规范修复流程和时间,明确责任。第三是做到漏洞及时发现,通过漏洞扫描或者安全产品能够及时发现漏洞。第四,如果前面的工作都已经良好运行了,可以从开发安全开始抓,在开发环境尽可能避免漏洞发生。
总之,漏洞难题说到底,还是重视不重视,愿不愿意投入的问题。
