安小圈
第562期
网络安全 科普
安全找漏洞那是“破”,修复漏洞是“立”。安全厂商提供的服务只能是破,修复漏洞需要业务厂商来主导。但是很多人会认为,解决不了问题,就解决提问题的人,把“立”的问题推给“破”的人,这是典型的认知缺陷。
随着技术的飞速发展,网络空间的安全威胁日益复杂多变,从黑客攻击、数据泄露到勒索软件,每一次安全事件都可能给企业带来不可估量的损失。因此,“安全找漏”与“修复漏洞”作为保障网络安全的两大核心环节,其重要性不言而喻。
一、安全找漏与修复漏洞的定义及关系
修复漏洞,则是在发现漏洞后,由业务厂商或系统维护者采取的行动,包括分析漏洞原因、制定修复方案、实施修复措施并验证修复效果,确保系统恢复到安全状态。修复漏洞是安全生命周期中至关重要的一环,它直接关系到系统能否有效抵御外部威胁。
两者之间的关系可以比喻为“发现问题”与“解决问题”的关系。安全找漏是前提,没有准确的漏洞发现,就谈不上有效的修复;而修复漏洞是目的,所有的找漏工作最终都是为了确保系统安全,减少风险。两者相辅相成,构成了一个完整的网络安全防护循环。
二、安全厂商“破”与业务厂商“立”
当前,安全行业中普遍存在的现象是,安全厂商专注于“破”——发现漏洞的能力,而修复漏洞的工作则主要由业务厂商自行承担,即“立”,修复漏洞的能力。
专业分工。安全厂商拥有专业的安全研究团队和工具,能够更高效、全面地发现漏洞;而业务厂商依据发现漏洞的过程,分析漏洞产生的原因,进而通过代码改动或者配置修复相关漏洞。
责任明确。业务厂商对自身系统最为了解,由其主导修复可以更精准地定位问题,减少误操作风险。安全厂商提供发现过程和可能的修复建议,从而让业务厂商理解漏洞产生的原因,条件,为修复漏洞提供参考。
促进技术创新。安全厂商为了保持竞争力,会不断研发新的检测技术,推动整个行业的技术进步。业务厂商也在漏洞修复中提升了代码安全能力。
但是目前为止,依然有很多人错误认为,这些都是安全的事情。甚至有一些业务厂商的人员遇到类似问题,直接内心万马奔腾,口吐芬芳。这不是天天给研发找事情么?甚至有些人解决不了问题的时候,会直接解决提出问题的人,这些都是典型的安全认知误区。
诚然,安全问题导致沟通成本上升。漏洞发现与修复之间的信息传递可能存在延迟或误解,影响修复效率。其次部分业务厂商的修复能力存在差异,并非所有业务厂商都具备快速响应和高效修复的能力,特别是对于复杂或高危漏洞。甚至在某些情况下,存在责任推诿,双方可能会因责任界定不清而产生推诿,影响漏洞处理的及时性。
三、认知缺陷:解决提出问题者而非问题本身
这种认知缺陷源于对安全本质的误解和对责任划分的模糊。它忽略了安全是一个持续迭代、共同防御的过程,而非简单的责任转移游戏。将问题归咎于发现者,不仅无助于问题的解决,反而会抑制安全研究的积极性,降低整个社会的安全水平。
四、认知缺陷对安全行业的影响及解决方案
首先是抑制创新。安全研究人员因担心被发现漏洞后遭受指责,可能减少公开报告漏洞的行为,导致已知漏洞数量减少,整体安全水平下降。尤其是时间的叠加效应,很可能导致安全事件发生的概率极大提升。
其实是信任危机。业务厂商与安全厂商之间的信任基础受损,合作效率降低,影响及时有效的漏洞修复,从而进一步地加大网络安全事件发生的可能性。
再次是导致生态恶化。如果没有形成正确的认知,长期以往,将形成“不敢报、不愿修”的恶性循环,网络安全生态恶化,为黑客提供可乘之机。
五、个人的解决建议
另外,可以考虑建立正向激励机制,鼓励和支持安全研究,对发现并提交漏洞的研究者给予物质和精神奖励,提升其社会地位和行业认可度。其次强化合作与沟通,建立更加紧密的合作关系,通过定期会议、技术交流会等形式,加强业务厂商与安全厂商之间的沟通,确保漏洞信息的快速准确传递。
对于责任不明确问题,可以构建标准化作业流程与责任界定:制定统一的漏洞处理流程和责任划分标准,明确双方的权利与义务,减少因责任不清导致的推诿现象。
督促业务厂商提升修复能力。业务厂商应加大对安全研发团队的投资,提升内部的安全防护和漏洞修复能力,同时鼓励采用自动化、智能化的修复工具,提高修复效率。
最后,培养安全文化。在全社会范围内普及网络安全知识,提高公众对网络安全重要性的认识,营造“人人关心安全、人人参与安全”的良好氛围。
结束语
【原文来源: 君说安全 】
原文始发于微信公众号(安小圈):网络安全知多少【科普】连载4:找安全漏洞是“破”,修复漏洞是“立”。安全一定是“破”“立”分开的。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论