企业漏洞管理的4大误区

根据IBM的2019年数据泄露成本报告，美国数据泄露的平均成本为819万美元。公司平均需要206天才能识别出泄露，尝试解决这些问题则平均需要38天。

这些统计数据和其他数百起有关网络犯罪的数据都非常醒目。网络攻击已不可避免，这是开展业务需要承担的另一成本。但是，企业可以采取很多措施来降低风险，特别是在漏洞管理方面。

漏洞管理的重要性通常被低估或忽视。我们来看看有哪些常见的漏洞管理认知误区并且来揭穿它们。

误区1：定期扫描就足够了

一个非常常见的误解就是：做到定期漏洞扫描就可以了。

但是！每天一次完全不够。每天各个时间段都会有新的应用程序和终端连接到公司网络中。变化时刻发生，这意味着网络攻击也随时会出现，而黑客从开始到完全攻破只需要18分钟。

公司不能每天扫描一次，即使他们每天都修复许多漏洞，但新漏洞出现的速度实在太快了。企业必须不断扫描才能防护。幸运的是，新的漏洞管理解决方案可以在不影响网络性能的情况下更快，使大规模扫描变得更快、更容易，因此，企业没有充分的理由偷懒。

误区2：漏洞=修补

许多人将漏洞等同于修补。实际上，漏洞管理可以更加详细和复杂。例如，配置更改可以解决问题，但如果公司运行的是旧软件，则可能无法使用修补程序或配置更新。在这种情况下，团队需要进行缓解控制，例如防火墙或路由更改，以防止某些类型的流量到达端口或应用程序。有时候，缓解控制要比补丁更好。

仅仅思考补丁是短视的，全面了解漏洞管理才能为组织提供更好的安全服务。

误区三：修复严重漏洞就能确保安全

组织必须首先解决5级严重漏洞的这一观点已经过时。在传统逻辑中，一般认为最严重的漏洞需要立即引起注意，但问题在于网络犯罪分子已经意识到了这种想法，于是他们反而开始攻击处于中间级别的漏洞，这些漏洞没有那么吸引企业安全人员的注意力，没有被全天候地进行加急补救，这使黑客有更长的时间找出攻击办法，并且由于这些漏洞长时间未被发现，最终会造成巨大的破坏。

在漏洞管理方面，公司需要调整战略。要么需要采用新的考虑因素和排名系统来解决漏洞，要么应该选择双管齐下的策略，利用自动化的漏洞管理解决方案立即修复较低级别的漏洞，同时释放团队成员来同时修复较高级别的漏洞。

误解四：漏洞管理没什么大不了的

这一观点显然缺乏对漏洞管理的重视。一般来自对自己的能力持某种傲慢态度的团队（一种“我的人可以手动修复任何东西”的态度），还是那些认为漏洞管理是一项低优先级的后台任务的团队，而其结果都是相同的：漏洞管理退居后位。

漏洞弹出得太快了，即使是最有才华，人员最齐全的团队也没有能力应对所有这些问题。将它们视为较低优先级，或者由于时间或资源不足而让漏洞管理陷入困境的这些行为都为网络攻击打开了大门，从长远来看，最终使企业的工作成倍增加，更不用潜在地造成的经济损失。

一些拥有网络保险政策的公司可能会感到虚假的安全感。但实际上并不保险。我们更鼓励所有IT团队优先考虑漏洞管理，抛弃其先入为主的观念和认知误区。漏洞管理可能不是IT团队要处理的最艰巨的任务，但做好漏洞管理却可能是防止严重恶意攻击的最大因素。

*参考来源：helpnetsecurity，kirazhou编译整理，转载请注明来自 FreeBuf.COM。