不要相信安全商业公司的漏洞评级
从自己观点来看的话,商业市场的公司的价值肯定是“”赚钱“的,不以赚钱为目的的公司都是耍流氓,这个社会上不是没有“”社会化企业“”,但是绝大多数的企业不是“”社会化企业“”。所以怎么赚钱或者说怎么更有价值地赚钱才是企业要考虑的问题,所以我们看到的漏洞关注的就是漏洞管理的等级是市面上几乎所有的安全厂商的市场的套路。
不要听那些安全公司宣传的那样,说自己的系统是多么地安全。其实当前互联网上90%企业是扛不住专业的网络安全攻击的。因为大部分的企业在做安全建设的时候,仅仅是关注了应用层面的安全,但是却忽略了开发框架的安全。只是去关注,外部公布的各种漏洞,却没有关心自己的内部的漏洞,比如自己软件的漏洞。
根据实际经验,以及众多的客户案例,根据统计结果目前造成80%严重供给的漏洞占所有漏洞之中的20%,真正地符合“二八原则”,并且有个非常神奇的结果,就是这20%之中 0 day 漏洞甚少。 其实这不难理解,0day漏洞因为其漏洞利用的复杂性,其主要是针对大型的组织单位进行的攻击,个人的攻击之中使用0 day 的比较少。
以漏洞利用为中心的漏洞管理思维
所以基于以上的问题,我们认为在企业安全建设之中,对于漏洞的管理需要重点关注常被黑客利用的漏洞,而不是 0 day 或者高级漏洞,这就是以漏洞利用为中心的漏洞管理思维。
目前在商业市场之中的常见的三种漏洞管理的模式:
1)第一类用户使用SDL 或者使用白盒测试的方法进行漏洞管理
2)第二类客户使用市场上成熟的漏洞扫描鱼评估工具做漏洞的管理
3)第三类客户使用市面上开源的漏洞管理工具进行管理开放的端口
备注: 微软SDL( Security Development Lifecycle)流程,是一种专注于软件开发安全保障的流程,为了实现保证最终的用户安全,在软件开发各阶段中引入安全和隐私问题。
更多安全问题,请咨询 麓谷男孩 微信:894510791
网友评论