不要相信安全商業(yè)公司的漏洞評級
從自己觀點(diǎn)來看的話高氮,商業(yè)市場的公司的價值肯定是“”賺錢“的与斤,不以賺錢為目的的公司都是耍流氓荚醒,這個社會上不是沒有“”社會化企業(yè)“”滓技,但是絕大多數(shù)的企業(yè)不是“”社會化企業(yè)“”东涡。所以怎么賺錢或者說怎么更有價值地賺錢才是企業(yè)要考慮的問題冯吓,所以我們看到的漏洞關(guān)注的就是漏洞管理的等級是市面上幾乎所有的安全廠商的市場的套路倘待。
不要聽那些安全公司宣傳的那樣,說自己的系統(tǒng)是多么地安全组贺。其實(shí)當(dāng)前互聯(lián)網(wǎng)上90%企業(yè)是扛不住專業(yè)的網(wǎng)絡(luò)安全攻擊的延柠。因?yàn)榇蟛糠值钠髽I(yè)在做安全建設(shè)的時候,僅僅是關(guān)注了應(yīng)用層面的安全锣披,但是卻忽略了開發(fā)框架的安全贞间。只是去關(guān)注,外部公布的各種漏洞雹仿,卻沒有關(guān)心自己的內(nèi)部的漏洞增热,比如自己軟件的漏洞。
根據(jù)實(shí)際經(jīng)驗(yàn)胧辽,以及眾多的客戶案例峻仇,根據(jù)統(tǒng)計結(jié)果目前造成80%嚴(yán)重供給的漏洞占所有漏洞之中的20%,真正地符合“二八原則”邑商,并且有個非常神奇的結(jié)果摄咆,就是這20%之中 0 day?漏洞甚少。?其實(shí)這不難理解人断,0day漏洞因?yàn)槠渎┒蠢玫膹?fù)雜性吭从,其主要是針對大型的組織單位進(jìn)行的攻擊,個人的攻擊之中使用0 day?的比較少恶迈。
以漏洞利用為中心的漏洞管理思維
所以基于以上的問題涩金,我們認(rèn)為在企業(yè)安全建設(shè)之中,對于漏洞的管理需要重點(diǎn)關(guān)注常被黑客利用的漏洞暇仲,而不是 0 day?或者高級漏洞步做,這就是以漏洞利用為中心的漏洞管理思維。
目前在商業(yè)市場之中的常見的三種漏洞管理的模式:
1)第一類用戶使用SDL?或者使用白盒測試的方法進(jìn)行漏洞管理
2)第二類客戶使用市場上成熟的漏洞掃描魚評估工具做漏洞的管理
3)第三類客戶使用市面上開源的漏洞管理工具進(jìn)行管理開放的端口
備注:?微軟SDL( Security Development Lifecycle)流程奈附,是一種專注于軟件開發(fā)安全保障的流程全度,為了實(shí)現(xiàn)保證最終的用戶安全,在軟件開發(fā)各階段中引入安全和隱私問題斥滤。
更多安全問題将鸵,請咨詢 麓谷男孩 微信:894510791
