我們?cè)撊绾慰创?Day漏洞?0Day漏洞曝出后,企業(yè)該如何應(yīng)對(duì)?安全從業(yè)者又該如何樹立正確的“漏洞觀”呢?
日前���,一年一度的大型線上攻防對(duì)抗大賽已圓滿落下帷幕��。但今年的演習(xí)尤其熱鬧���,乙方安全產(chǎn)品頻頻被曝出0Day漏洞,各種真假消息滿天飛����,讓甲方企業(yè)每天都惴惴不安,開始用看”內(nèi)鬼“的眼光看待自己的安全防線����。為應(yīng)對(duì)安全產(chǎn)品0Day問題,有的甲方企業(yè)甚至采用了關(guān)機(jī)���、拔網(wǎng)線����、下線安全產(chǎn)品等極端方式,直接讓業(yè)務(wù)系統(tǒng)處于“裸奔”狀態(tài)�。
這種亂象不禁讓業(yè)界陷入深思。
甲方企業(yè)平日幾乎不會(huì)遇到0Day攻擊�����,但在攻防對(duì)抗大賽期間���,平日精心構(gòu)筑的安全體系集中被曝出多個(gè)0Day漏洞��。這真是巧合?有業(yè)內(nèi)專家推測(cè)�,這極有可能是攻擊方將前期早已積累好的0Day武器庫(kù)��,在這段時(shí)間內(nèi)集中曝出�,讓防守方措手不及。但這種完全失去了攻防演練初衷的行為真的可取嗎?在不知道這些漏洞是否也被其他別有用心的人或組織掌握的情況下��,為什么不盡早通知相關(guān)企業(yè)和廠商進(jìn)行修復(fù)?在今天這種復(fù)雜的國(guó)際形勢(shì)下����,如果這些0Day漏洞一旦被敵對(duì)勢(shì)力獲取,后果將不堪設(shè)想。
那么我們?cè)撊绾慰创?Day漏洞?0Day漏洞曝出后���,企業(yè)該如何應(yīng)對(duì)?安全從業(yè)者又該如何樹立正確的“漏洞觀”呢?
不要幻想安全產(chǎn)品沒有漏洞
只要有代碼����,就有漏洞��。據(jù)公開數(shù)據(jù)顯示�,每1000行代碼就會(huì)有4-6個(gè)漏洞,這一規(guī)律也同樣適用于安全產(chǎn)品����。因此��,將“天下無洞”的使命����,全交給安全產(chǎn)品來承擔(dān),不現(xiàn)實(shí)也不可能�����。
0Day漏洞本身就是個(gè)永恒的問題����,它是對(duì)一種未公開漏洞的特殊稱呼����,本質(zhì)來說還是一種漏洞��,不過這種漏洞還未被公開��。IT系統(tǒng)的0Day一直層出不窮�,從操作系統(tǒng)、中間件���、應(yīng)用系統(tǒng)�、軟件以及使用的開發(fā)庫(kù)�����、插件等都會(huì)出現(xiàn)各種0Day���,可以說���,0Day漏洞就是伴隨著各類IT產(chǎn)品的出現(xiàn)而產(chǎn)生。因此��,專門有部分安全產(chǎn)品是為了防止0Day攻擊而存在的。
但是安全產(chǎn)品自身也無法避免0Day攻擊�,因?yàn)榘踩a(chǎn)品本質(zhì)上也是一種代碼開發(fā)出來的產(chǎn)品,哪怕是國(guó)際的一線安全廠商���,比如Palo Alto
Networks���、Trend
Micro等在2020年也持續(xù)有漏洞曝出。因此����,將“安全漏洞”和其它系統(tǒng)缺陷問題區(qū)分對(duì)待并沒有實(shí)際意義,因?yàn)槿魏我粋€(gè)缺陷在某種條件下都可能成為一個(gè)安全漏洞��。絕對(duì)完美的產(chǎn)品是不存在的����,任何軟件和硬件工程下生產(chǎn)的產(chǎn)品都會(huì)出現(xiàn)漏洞�,只是還沒有被發(fā)現(xiàn)或還沒有被利用,安全隱患始終存在���。
面對(duì)漏洞不可因噎廢食
正如Linux的創(chuàng)始人Linus
Torvalds說過:我們需要盡量避免漏洞�,但不可能完全消除����。技術(shù)本是中性�,安全產(chǎn)品也一定存在漏洞�,沒有必要因?yàn)檫@次演習(xí)期間,被真真假假的漏洞嚇到�,就因噎廢食,開始懷疑安全產(chǎn)品的價(jià)值�。
沒被曝出漏洞的產(chǎn)品,不代表就比已經(jīng)被曝出漏洞的產(chǎn)品更安全���,可能只是漏洞未被發(fā)現(xiàn)��。安全產(chǎn)品的價(jià)值是減少IT鏈條上的風(fēng)險(xiǎn)和入侵�����,這一核心價(jià)值不會(huì)因?yàn)槁┒吹拇嬖诙?�,合理部署安全防護(hù)產(chǎn)品仍然是抵御網(wǎng)絡(luò)攻擊的最佳方式����。
作為用戶�,需要正視安全產(chǎn)品本身存在漏洞的現(xiàn)實(shí),但更要認(rèn)識(shí)到���,對(duì)這些漏洞的處置����,也是和常見的操作系統(tǒng)、數(shù)據(jù)庫(kù)���、網(wǎng)絡(luò)產(chǎn)品的漏洞一樣��。面對(duì)0Day漏洞�����,切莫聞“洞”色變����,自亂陣腳���,大部分都可以通過合理配置�����、規(guī)范操作流程來規(guī)避。同時(shí)��,建立良好的安全意識(shí)和運(yùn)維習(xí)慣,就可以做到對(duì)常見安全事件“免疫“��。
0Day漏洞不是企業(yè)攻防常態(tài)���。正如前文所說����,0Day在日常安全工作中并不多見��。微軟曾在一份安全漏洞報(bào)告中稱��,所謂的0Day漏洞威脅被夸大了��,由0Day漏洞引入的病毒小于1%���。相反��,一些社會(huì)工程攻擊�����,如釣魚行為����,占所有惡意程序的傳播總量的45%。單純依靠0Day漏洞攻擊成功事件所占比例�,遠(yuǎn)低于包括弱密碼、不合規(guī)配置�����、安全意識(shí)不夠等基礎(chǔ)工作不到位引發(fā)的安全事件��。這就猶如每年因?yàn)轱w機(jī)失事導(dǎo)致死亡的人數(shù)����,遠(yuǎn)低于其他交通事故的死亡人數(shù)。
當(dāng)然���,這并不是說安全廠商不需要加強(qiáng)自身產(chǎn)品的安全性��,相反�����,安全廠商更需要加大對(duì)產(chǎn)品安全性的投入����。對(duì)于安全從業(yè)者而言,需要樹立正確的漏洞觀念:漏洞不可怕���,可怕的是對(duì)待安全的態(tài)度。既不可幻想“天下無洞”�����,也不可
“因噎廢食”��。猶如火的出現(xiàn)推動(dòng)了社會(huì)進(jìn)步����,但人們并不會(huì)因?yàn)閼峙禄馂?zāi)所造成的傷害,就倒退回原始時(shí)代茹毛飲血的生活���。
建立正確的漏洞披露機(jī)制
既然漏洞不可避免��,那么建立一個(gè)安全有效的漏洞披露和溝通機(jī)制就至關(guān)重要����。目前這種集中曝出安全產(chǎn)品漏洞的行為�����,不僅將安全產(chǎn)業(yè)置于一種被質(zhì)疑的尷尬境地���,也給甲方企業(yè)帶來了極大的安全風(fēng)險(xiǎn)�����,更給國(guó)家安全帶來了安全隱患�。不管是一時(shí)的炫技,還是有針對(duì)性地行為�,都絕不是一種負(fù)責(zé)任的態(tài)度。
目前�,針對(duì)漏洞管理,國(guó)家層面有CNNVD��、CNVD等國(guó)家漏洞庫(kù)�����,由國(guó)家相關(guān)職能部門維護(hù)運(yùn)營(yíng)���,負(fù)責(zé)統(tǒng)一采集收錄安全漏洞和發(fā)布漏洞預(yù)警公告���,有著較為完善的漏洞資源收集、通報(bào)以及消控機(jī)制�。漏洞庫(kù)收錄漏洞后,會(huì)通知廠商采取漏洞修補(bǔ)或防范措施后再予以公開,供安全研究人員學(xué)習(xí)和借鑒���,幫助廠商及時(shí)查缺補(bǔ)漏����,推動(dòng)我國(guó)網(wǎng)絡(luò)安全行業(yè)良性發(fā)展�。
2019年6月18日��,工業(yè)和信息化部發(fā)布了《公開征求對(duì)
在《意見》中明確規(guī)定��,第三方組織或個(gè)人向社會(huì)發(fā)布網(wǎng)絡(luò)安全漏洞信息的要求:必要��、真實(shí)��、客觀��、有利于防范和應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)����。
不得在“官宣”前搶先向社會(huì)發(fā)布。即不得在網(wǎng)絡(luò)產(chǎn)品或服務(wù)提供商和網(wǎng)絡(luò)運(yùn)營(yíng)商向社會(huì)或用戶發(fā)布漏洞補(bǔ)救或防范措施之前發(fā)布相關(guān)漏洞信息�,以免惡意攻擊者利用漏洞信息給更多的組織機(jī)構(gòu)造成危害。
不得夸大影響����,營(yíng)造恐慌氣氛����。即不得刻意夸大漏洞的危害和風(fēng)險(xiǎn)���。
不得提供乘人之危的方法�、程序和工具�。即不得發(fā)布和提供專門用于利用網(wǎng)絡(luò)產(chǎn)品、服務(wù)����、系統(tǒng)漏洞從事危害網(wǎng)絡(luò)安全活動(dòng)的方法、程序和工具�。
網(wǎng)信辦2019年11月20日發(fā)布的關(guān)于《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法(征求意見稿)》中規(guī)定,不利用網(wǎng)絡(luò)安全威脅信息進(jìn)行炒作���、牟取不正當(dāng)利益或從事不正當(dāng)商業(yè)競(jìng)爭(zhēng);發(fā)布網(wǎng)絡(luò)安全威脅信息�����,應(yīng)事先征求網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營(yíng)者書面意見�����,并必須向主管部門報(bào)告�。同時(shí),發(fā)布網(wǎng)絡(luò)安全威脅信息不得危害國(guó)家安全和社會(huì)公共利益��,不得侵犯公民�、法人和其他組織的合法權(quán)益。
總結(jié)
甲方企業(yè):針對(duì)安全產(chǎn)品漏洞�����,以“拔網(wǎng)線”為代表的過度反應(yīng)����,并不能解決安全產(chǎn)品的0Day問題��。甲方企業(yè)需要接受漏洞不可避免的現(xiàn)實(shí)�,用合理的眼光看待安全產(chǎn)品的漏洞,做好漏洞管理消控工作�����,切不可因噎廢食�。
安全企業(yè):在當(dāng)前的安全新形勢(shì)下,安全行業(yè)務(wù)必要改變過去“重業(yè)務(wù)����,輕安全”的態(tài)度�。
很多安全廠商雖然都擁有自己的攻防團(tuán)隊(duì)�����,但是在自家產(chǎn)品的安全性投入上遠(yuǎn)遠(yuǎn)不夠�����。打鐵還需自身硬�����,安全廠商需要把安全的第一道防線放在自己產(chǎn)品的源頭�,強(qiáng)化自身的開發(fā)管理,加強(qiáng)產(chǎn)品的安全性��,以及做好相關(guān)的升級(jí)服務(wù)���。
最后���,要充分認(rèn)識(shí)到漏洞披露的重要性。在網(wǎng)絡(luò)空間博弈日趨激烈的今天��,漏洞已經(jīng)成為一種戰(zhàn)略資源,直接關(guān)系到國(guó)家網(wǎng)絡(luò)空間安全��。不規(guī)范的漏洞披露傷害的是用戶和產(chǎn)業(yè)��,甚至危及國(guó)家安全�����。維護(hù)網(wǎng)絡(luò)安全����,人人有責(zé)。在法律法規(guī)或漏洞披露策略的框架下����,通過安全合理的漏洞披露渠道和機(jī)制�,才能夠促進(jìn)安全社區(qū)的健康發(fā)展和安全技術(shù)的進(jìn)步,推動(dòng)我國(guó)網(wǎng)絡(luò)安全事業(yè)的健康發(fā)展�,為我國(guó)整體網(wǎng)絡(luò)安全防線貢獻(xiàn)應(yīng)有的力量。
聲明:本文來自中國(guó)信息安全�,版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)��,不代表本站(網(wǎng)絡(luò)安全等級(jí)保護(hù)資訊網(wǎng))立場(chǎng)�����,轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)���,請(qǐng)聯(lián)系刪除�。
等保測(cè)評(píng)咨詢
