“小张,我们部门的漏洞列表麻烦发我一下。”
“漏洞信息都在漏洞管理系统上呢,可以直接查看,而且漏洞信息会定期更新,直接看会更方便一些呢。”
“可是我看到的没那么多漏洞啊?”二级部门A说起来理直气壮。
“小张,为什么我搜不到我们部门的XX系统?”二级部门B一脸疑惑。
“小张,搁置原因在哪填啊?”龙哥的咨询消息接踵而至。
尽管漏洞管理系统推出时做过上线培训,详细讲解了有哪些功能、如何使用,但现实中就是有这么多人还是不会使用漏洞管理系统。
不知道怎么查才能看到自己部门的所有系统和漏洞。
不知道为什么查不到某个系统。
不知道如何在系统中反馈信息(虽然他们本来也不想反馈)
不知道漏洞修复后要发起复核并复核成功后漏洞问题才会从系统中消失。
于是,小张化身漏洞管理系统解说员,一个一个小灶搭起。
“小张,这个漏洞是什么意思啊?你看我们这样修可以吗?”
“小张,这个漏洞,我们做了登录失败次数限制……,你看这样可以吗?”
不知道如何修复没关系,只要你肯动起来就行,协调员小张上线,建群、拉技术专家,大家一起上。
“小张,我们这套系统的开发工程师都不在了,代码别人也看不懂,没办法修啊。”
“小张,我们部门的系统是这样的,我们之前找了厂商,尝试了修复漏洞搞得系统宕机,再找他们迟迟没有明确答复,厂商现在做事一点也不给力,我们已经计划换个供应商了,现在这些漏洞问题能不能先不管了?”
一个外网可访问的系统,存在N多高危漏洞,新系统上线时间又看不到,竟然敢问能不能不管,真是不知者无畏呢。
看到漏洞的直接反应就是忽略或修复,不知道还可以采取其他加固措施也情有可原。
毕竟,有不少安全人员自己都没弄清楚,安全的本质是什么。
于是安全解说员小张上线,将修护城墙、建护城河类包围式加固思路,甚至非常时期的临时下线逐一娓娓道来。
不知道他们最终决定如何处置这些漏洞,该去漏洞管理系统上看看了。
不看不知道一看又来新问题,有1/4的漏洞都被搁置了!
或说漏洞利用困难、或说加强了监控风险可控、或说加强了访问控制风险降低……
但是也没见有人来对搁置原因、加固措施做评审呀,搁置原因、加固措施可行性无人问津的事实呼之欲出。
安全人员天天推漏洞促安全,不能在最后环节垮在自己手上呀。
小张赶紧请示领导,得到了领导的肯定和支持,立马叫来技术专家,要求执行对加固措施、搁置原因的评审把关。
但是修复漏洞是一个持续的事情,毕竟会持续不停的暴露漏洞。
1、发现漏洞来源包括工具扫描发现、渗透发现、攻防演练发现、漏洞情报。
2、处置漏洞环节,根据处置方式可以分为以下三种:
-
-
采取加固措施,如加强访问控制,启用白名单等,需要对加固措施可行性进行评审,确认残余风险可接受;
-
临时下线。
原文始发于微信公众号(微言晓意):推动漏洞修复路上的二三事儿(续)
评论