专栏首页FreeBuf企业漏洞管理的4大误区

企业漏洞管理的4大误区

根据IBM的2019年数据泄露成本报告,美国数据泄露的平均成本为819万美元。公司平均需要206天才能识别出泄露,尝试解决这些问题则平均需要38天。

这些统计数据和其他数百起有关网络犯罪的数据都非常醒目。网络攻击已不可避免,这是开展业务需要承担的另一成本。但是,企业可以采取很多措施来降低风险,特别是在漏洞管理方面。

漏洞管理的重要性通常被低估或忽视。我们来看看有哪些常见的漏洞管理认知误区并且来揭穿它们。

误区1:定期扫描就足够了

一个非常常见的误解就是:做到定期漏洞扫描就可以了。

但是!每天一次完全不够。每天各个时间段都会有新的应用程序和终端连接到公司网络中。变化时刻发生,这意味着网络攻击也随时会出现,而黑客从开始到完全攻破只需要18分钟。

公司不能每天扫描一次,即使他们每天都修复许多漏洞,但新漏洞出现的速度实在太快了。企业必须不断扫描才能防护。幸运的是,新的漏洞管理解决方案可以在不影响网络性能的情况下更快,使大规模扫描变得更快、更容易,因此,企业没有充分的理由偷懒。

误区2:漏洞=修补

许多人将漏洞等同于修补。实际上,漏洞管理可以更加详细和复杂。例如,配置更改可以解决问题,但如果公司运行的是旧软件,则可能无法使用修补程序或配置更新。在这种情况下,团队需要进行缓解控制,例如防火墙或路由更改,以防止某些类型的流量到达端口或应用程序。有时候,缓解控制要比补丁更好。

仅仅思考补丁是短视的,全面了解漏洞管理才能为组织提供更好的安全服务。

误区三:修复严重漏洞就能确保安全

组织必须首先解决5级严重漏洞的这一观点已经过时。在传统逻辑中,一般认为最严重的漏洞需要立即引起注意,但问题在于网络犯罪分子已经意识到了这种想法,于是他们反而开始攻击处于中间级别的漏洞,这些漏洞没有那么吸引企业安全人员的注意力,没有被全天候地进行加急补救,这使黑客有更长的时间找出攻击办法,并且由于这些漏洞长时间未被发现,最终会造成巨大的破坏。

在漏洞管理方面,公司需要调整战略。要么需要采用新的考虑因素和排名系统来解决漏洞,要么应该选择双管齐下的策略,利用自动化的漏洞管理解决方案立即修复较低级别的漏洞,同时释放团队成员来同时修复较高级别的漏洞。

误解四:漏洞管理没什么大不了的

这一观点显然缺乏对漏洞管理的重视。一般来自对自己的能力持某种傲慢态度的团队(一种“我的人可以手动修复任何东西”的态度),还是那些认为漏洞管理是一项低优先级的后台任务的团队,而其结果都是相同的:漏洞管理退居后位。

漏洞弹出得太快了,即使是最有才华,人员最齐全的团队也没有能力应对所有这些问题。将它们视为较低优先级,或者由于时间或资源不足而让漏洞管理陷入困境的这些行为都为网络攻击打开了大门,从长远来看,最终使企业的工作成倍增加,更不用潜在地造成的经济损失。

一些拥有网络保险政策的公司可能会感到虚假的安全感。但实际上并不保险。我们更鼓励所有IT团队优先考虑漏洞管理,抛弃其先入为主的观念和认知误区。漏洞管理可能不是IT团队要处理的最艰巨的任务,但做好漏洞管理却可能是防止严重恶意攻击的最大因素。

*参考来源:helpnetsecurity,kirazhou编译整理,转载请注明来自 FreeBuf.COM。

本文分享自微信公众号 - FreeBuf(freebuf),作者:kirazhou

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 针对《网络安全漏洞管理规定(征求意见稿)》的一些看法:利大于弊

    6月18日晚间,工信部一纸《网络安全漏洞管理规定 (征求意见稿)》(以下简称规定)很快引爆了安全圈……FreeBuf上一位作者及时发布了一篇针对该意见稿的解读文...

    FB客服
  • 一个漏洞能潜伏多少年?细数那些有名的高龄安全漏洞

    在评估漏洞影响时,人们关注的往往是漏洞风险,而实际上,漏洞潜伏的时间也是一个非常重要的因素。时间跨度大,也就意味着在此期间使用这些含有漏洞的软件的设备更多,影响...

    FB客服
  • Android 0day收购价高达250万美金,首次反超iOS

    近日,漏洞收购商Zerodium更新了安卓和iOS的0day漏洞收购价,发现自2015年公司成立以来,安卓0day漏洞价格首次高于iOS漏洞价格。

    FB客服
  • 针对网络安全信息漏洞的报告总结!

    目前在这个世界中,各个城市各个企业,不管大小都会上演关于各种形形色色的信息安全漏洞以及各种攻击。那么墨者安全就根据CNVD整理出的信息安全漏洞数据,针对上周20...

    墨者盾
  • Android 0day收购价高达250万美金,首次反超iOS

    近日,漏洞收购商Zerodium更新了安卓和iOS的0day漏洞收购价,发现自2015年公司成立以来,安卓0day漏洞价格首次高于iOS漏洞价格。

    FB客服
  • 初识弱点扫描

    这个数据库是OffensiveSecurity 维护的,收集了大量的意已知漏洞的PoC 和 Exp,也是我们查找漏洞利用代码的主要途径之一

    意大利的猫
  • 【漏洞治理】漏洞调研报告(非完整版)

    “ 在大型网络安全攻防活动前夕,互联网上又出现不少漏洞治理相关文章,部分微信群也纷纷进行热议。关于漏洞的治理,仍旧是网安行业经久不衰的话题。”

    aerfa
  • 鉴谈漏洞利用

    前言本来不想讲这个事情,但是因为很多小白对这方面可能不太了解,所以讲一讲,关于鉴定网络上流传漏洞poc或exp的方法,原因是这二天关于cve-2019-0708...

    C4rpeDime
  • 企业安全建设之漏洞管理与运营

    对于企业内部的安全工程师来说,对漏洞一直又爱又怕,爱在,漏洞的发现与验证实现的过程,充满满满的成就感;怕在,不断的新系统上线,老系统版本更新迭代,造就一批批的漏...

    FB客服
  • 一个5K RMB奖励的SRC漏洞

    在挖一些SRC漏洞的时候需要时刻保持敏感的状态,特别是在企业上线新业务,或者一些新漏洞爆发的时候,这些新漏洞可能是官方都未提供补丁的0day,或者刚被公布细节的...

    HACK学习

扫码关注云+社区

领取腾讯云代金券