网络安全知多少【科普】连载4:找安全漏洞是破,修复漏洞是立。安全一定是破立分开的。

admin 2024年12月9日11:38:47评论6 views字数 2497阅读8分19秒阅读模式

安小圈

第562期

网络安全 科普

网络安全知多少【科普】连载4:找安全漏洞是破,修复漏洞是立。安全一定是破立分开的。

 凡是要求安全厂商又“破”又“立”的,一定是在耍流氓。

安全找漏洞那是“破”,修复漏洞是“立”。安全厂商提供的服务只能是破,修复漏洞需要业务厂商来主导。但是很多人会认为,解决不了问题,就解决提问题的人,把“立”的问题推给“破”的人,这是典型的认知缺陷。

随着技术的飞速发展,网络空间的安全威胁日益复杂多变,从黑客攻击、数据泄露到勒索软件,每一次安全事件都可能给企业带来不可估量的损失。因此,“安全找漏”与“修复漏洞”作为保障网络安全的两大核心环节,其重要性不言而喻。

一、安全找漏与修复漏洞的定义及关系

安全找漏,顾名思义,是指通过专业的技术手段和方法,发现并识别信息系统或网络中存在的安全弱点、漏洞或潜在威胁的过程。这一过程通常由专业的安全团队或安全厂商执行,利用渗透测试、漏洞扫描、代码审计等手段,模拟黑客的攻击行为,以期在真正的恶意攻击发生前发现并报告这些问题。

修复漏洞,则是在发现漏洞后,由业务厂商或系统维护者采取的行动,包括分析漏洞原因、制定修复方案、实施修复措施并验证修复效果,确保系统恢复到安全状态。修复漏洞是安全生命周期中至关重要的一环,它直接关系到系统能否有效抵御外部威胁。

两者之间的关系可以比喻为“发现问题”与“解决问题”的关系。安全找漏是前提,没有准确的漏洞发现,就谈不上有效的修复;而修复漏洞是目的,所有的找漏工作最终都是为了确保系统安全,减少风险。两者相辅相成,构成了一个完整的网络安全防护循环。

二、安全厂商“破”与业务厂商“立”

前,安全行业中普遍存在的现象是,安全厂商专注于“破”——发现漏洞的能力,而修复漏洞的工作则主要由业务厂商自行承担,即“立”,修复漏洞的能力。

专业分工。安全厂商拥有专业的安全研究团队和工具,能够更高效、全面地发现漏洞;而业务厂商依据发现漏洞的过程,分析漏洞产生的原因,进而通过代码改动或者配置修复相关漏洞。

责任明确。业务厂商对自身系统最为了解,由其主导修复可以更精准地定位问题,减少误操作风险。安全厂商提供发现过程和可能的修复建议,从而让业务厂商理解漏洞产生的原因,条件,为修复漏洞提供参考。

促进技术创新。安全厂商为了保持竞争力,会不断研发新的检测技术,推动整个行业的技术进步。业务厂商也在漏洞修复中提升了代码安全能力。

但是目前为止,依然有很多人错误认为,这些都是安全的事情。甚至有一些业务厂商的人员遇到类似问题,直接内心万马奔腾,口吐芬芳。这不是天天给研发找事情么?甚至有些人解决不了问题的时候,会直接解决提出问题的人,这些都是典型的安全认知误区。

诚然,安全问题导致沟通成本上升。漏洞发现与修复之间的信息传递可能存在延迟或误解,影响修复效率。其次部分业务厂商的修复能力存在差异,并非所有业务厂商都具备快速响应和高效修复的能力,特别是对于复杂或高危漏洞。甚至在某些情况下,存在责任推诿,双方可能会因责任界定不清而产生推诿,影响漏洞处理的及时性。

三、认知缺陷:解决提出问题者而非问题本身

面对复杂的网络安全挑战,一种错误的认知悄然兴起:当遇到难以解决的漏洞问题时,有人倾向于认为“解决不了问题,就解决提出问题的人”。这种将“立”(修复漏洞)的责任错误地归咎于“破”(发现漏洞)方的观念,是一种典型的认知缺陷。

这种认知缺陷源于对安全本质的误解和对责任划分的模糊。它忽略了安全是一个持续迭代、共同防御的过程,而非简单的责任转移游戏。将问题归咎于发现者,不仅无助于问题的解决,反而会抑制安全研究的积极性,降低整个社会的安全水平。

四、认知缺陷对安全行业的影响及解决方案

因此我们要警惕网络安全一些不正确认知的行为。网络安全行业一定要责任分明,尤其是组织或单位的领导,一定要有正确的网络安全认知。否则可能会带来一些负面效果。

首先是抑制创新。安全研究人员因担心被发现漏洞后遭受指责,可能减少公开报告漏洞的行为,导致已知漏洞数量减少,整体安全水平下降。尤其是时间的叠加效应,很可能导致安全事件发生的概率极大提升。

其实是信任危机。业务厂商与安全厂商之间的信任基础受损,合作效率降低,影响及时有效的漏洞修复,从而进一步地加大网络安全事件发生的可能性。

再次是导致生态恶化。如果没有形成正确的认知,长期以往,将形成“不敢报、不愿修”的恶性循环,网络安全生态恶化,为黑客提供可乘之机。

五、个人的解决建议

笔者认为,造成这一切的问题是大家的认知水平存在短板。因此作为甲方爸爸,无论采购业务,还是采购安全,一定要构建明确的责任机制,明确各方的工作职责和边界。

另外,可以考虑建立正向激励机制,鼓励和支持安全研究,对发现并提交漏洞的研究者给予物质和精神奖励,提升其社会地位和行业认可度。其次强化合作与沟通,建立更加紧密的合作关系,通过定期会议、技术交流会等形式,加强业务厂商与安全厂商之间的沟通,确保漏洞信息的快速准确传递。

对于责任不明确问题,可以构建标准化作业流程与责任界定:制定统一的漏洞处理流程和责任划分标准,明确双方的权利与义务,减少因责任不清导致的推诿现象。

督促业务厂商提升修复能力。业务厂商应加大对安全研发团队的投资,提升内部的安全防护和漏洞修复能力,同时鼓励采用自动化、智能化的修复工具,提高修复效率。

最后,培养安全文化。在全社会范围内普及网络安全知识,提高公众对网络安全重要性的认识,营造“人人关心安全、人人参与安全”的良好氛围。

结束语

安全找漏与修复漏洞是网络安全领域不可分割的两部分,它们共同构成了保护信息系统安全的坚固防线。面对日益严峻的安全挑战,我们需要摒弃“解决提出问题者”的错误认知,建立更加开放、合作、共赢的网络安全生态。凡是要求安全厂商又“破”又“立”的,一定是在耍流氓,这种要求跟又是裁判员,又是运动员的,没啥区别。
网络安全知多少【科普】连载4:找安全漏洞是破,修复漏洞是立。安全一定是破立分开的。

网络安全知多少【科普】连载4:找安全漏洞是破,修复漏洞是立。安全一定是破立分开的。【原文来源:   君说安全 

网络安全知多少【科普】连载4:找安全漏洞是破,修复漏洞是立。安全一定是破立分开的。网络安全知多少【科普】连载4:找安全漏洞是破,修复漏洞是立。安全一定是破立分开的。

网络安全知多少【科普】连载4:找安全漏洞是破,修复漏洞是立。安全一定是破立分开的。

网络安全知多少【科普】连载4:找安全漏洞是破,修复漏洞是立。安全一定是破立分开的。网络安全知多少【科普】连载4:找安全漏洞是破,修复漏洞是立。安全一定是破立分开的。网络安全知多少【科普】连载4:找安全漏洞是破,修复漏洞是立。安全一定是破立分开的。

原文始发于微信公众号(安小圈):网络安全知多少【科普】连载4:找安全漏洞是“破”,修复漏洞是“立”。安全一定是“破”“立”分开的。

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月9日11:38:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全知多少【科普】连载4:找安全漏洞是破,修复漏洞是立。安全一定是破立分开的。https://cn-sec.com/archives/3485052.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息