一、背景

根據(jù)最新的數(shù)據(jù)統(tǒng)計顯示，全球每天有數(shù)十萬次的安全漏洞攻擊事件發(fā)生，其中一半以上是由未修復(fù)的已知漏洞引起的，這些攻擊可能導(dǎo)致企業(yè)損失數(shù)百萬甚至數(shù)億的資金，從而損壞企業(yè)品牌和聲譽(yù)，甚至使企業(yè)面臨政府機(jī)關(guān)或客戶的問責(zé)或法律訴訟。

因此，對已知安全漏洞的修復(fù)是企業(yè)在安全建設(shè)工作中不可或缺的一項重要任務(wù)。

二、安全漏洞識別與評估

企業(yè)進(jìn)行漏洞修復(fù)的前提是對漏洞進(jìn)行識別和評估。只有在識別、掌握、記錄了安全漏洞的信息之后，才能在該基礎(chǔ)上開展漏洞修復(fù)的工作。

常見的安全漏洞識別方法：

• 使用漏洞掃描工具

• 源代碼安全審計

• 滲透測試

• 使用軟件成分分析工具/系統(tǒng)

• 攻防演練

• 網(wǎng)絡(luò)流量分析

• 訂閱安全漏洞通告

三、安全漏洞修復(fù)策略

企業(yè)在進(jìn)行漏洞修復(fù)時，應(yīng)建立一套相應(yīng)的漏洞修復(fù)策略，漏洞修復(fù)策略包含以下六個因素：

1

團(tuán)隊構(gòu)建和合作

在進(jìn)行漏洞修復(fù)前首先需要建立一個漏洞評估和修復(fù)團(tuán)隊，團(tuán)隊成員及具體分工如下：

• 安全人員：提供安全技術(shù)支持，如漏洞分析評估、修復(fù)指導(dǎo)、漏洞修復(fù)驗證等；

• 研發(fā)人員：支持應(yīng)用相關(guān)漏洞的修復(fù)工作；

• 運(yùn)維人員：負(fù)責(zé)服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等的系統(tǒng)升級、補(bǔ)丁下發(fā)、策略配置、安全加固相關(guān)工作；

• 團(tuán)隊負(fù)責(zé)人：負(fù)責(zé)人員、資源的協(xié)調(diào)。

2

漏洞修復(fù)優(yōu)先級

開展漏洞修復(fù)時，團(tuán)隊需要對漏洞修復(fù)緊急程度進(jìn)行分類，制定漏洞修復(fù)優(yōu)先級。漏洞修復(fù)優(yōu)先級可以參考以下方面：

• 漏洞嚴(yán)重性

• 業(yè)務(wù)影響程度

• 攻擊概率評估

• 漏洞修復(fù)復(fù)雜性評估

• 業(yè)務(wù)需求和合規(guī)要求

3

漏洞修復(fù)成本

在投入資源進(jìn)行漏洞修復(fù)之前，需要對漏洞修復(fù)的成本進(jìn)行評估。評估的目的是平衡修復(fù)成本和安全風(fēng)險，實現(xiàn)安全工作的成本效益最大化。

漏洞修復(fù)成本的評估包括以下方面：

• 是否影響運(yùn)營環(huán)境或基礎(chǔ)環(huán)境的操作；

• 是否會影響到業(yè)務(wù)的正常運(yùn)行，如果是，影響的業(yè)務(wù)損失預(yù)計是多少；

• 修復(fù)工作需要投入多少一次性資源，如過渡的計算資源；

• 修復(fù)工作需要投入的人員及工時；

• 修復(fù)工作是否涉及公司其他部門的協(xié)助，協(xié)助內(nèi)容及時長；

• 修復(fù)工作是否需要引入外部資源，預(yù)計的費(fèi)用是多少。

通過以上六個方面評估漏洞修復(fù)的成本，來確保投入修復(fù)漏洞資源的有效性。

即：漏洞數(shù)量*（修復(fù)前漏洞利用概率*漏洞利用預(yù)計損失）-漏洞數(shù)量*（修復(fù)后漏洞利用概率*漏洞利用預(yù)計損失）>漏洞修復(fù)成本

4

修復(fù)時間分配

不同優(yōu)先級的漏洞修復(fù)時間也是不同的，通常來說，優(yōu)先級越高的漏洞需要在越短的時間被修復(fù)。

常見的漏洞修復(fù)窗口如下：

漏洞修復(fù)優(yōu)先級
漏洞修復(fù)窗口
嚴(yán)重
1天高
1-3天中
3-7天低
15-20天

5

修復(fù)資源分配

在修復(fù)安全漏洞前，需要對人員及資源進(jìn)行需求評估；在漏洞修復(fù)中，應(yīng)根據(jù)實際情況對現(xiàn)有資源進(jìn)行動態(tài)調(diào)整；在漏洞修復(fù)后，要做好資源協(xié)調(diào)監(jiān)控。

合理的資源分配是確保漏洞修復(fù)工作能夠高效進(jìn)行的關(guān)鍵之一。主要參考如下內(nèi)容進(jìn)行資源分配：

• 修復(fù)工作量評估

• 資源合理分配

• 優(yōu)化修復(fù)流程

• 外部資源合作

• 優(yōu)先級調(diào)整和動態(tài)分配

• 監(jiān)控和評估

6

持續(xù)監(jiān)控與反饋策略

在完成漏洞修復(fù)工作后，企業(yè)需持續(xù)監(jiān)控已修復(fù)的安全漏洞，并向安全團(tuán)隊及時反饋監(jiān)控到的異常情況，在保證漏洞修復(fù)措施有效性的同時，也可以及時發(fā)現(xiàn)新產(chǎn)生的安全漏洞。

四、漏洞修復(fù)方案

1

漏洞修復(fù)流程

2

漏洞修復(fù)方式

五、持續(xù)漏洞管理

企業(yè)在進(jìn)行漏洞修復(fù)的同時也需要做好持續(xù)漏洞管理工作，漏洞修復(fù)工作只是解決了目前發(fā)現(xiàn)的安全漏洞，而新發(fā)現(xiàn)的漏洞以及潛在的風(fēng)險都可能給企業(yè)帶來很大損失。

以下是持續(xù)漏洞管理需要做的工作：

• 定期進(jìn)行漏洞掃描和評估

• 根據(jù)漏洞掃描結(jié)果，及時修復(fù)和應(yīng)用相關(guān)的安全補(bǔ)丁

• 進(jìn)行漏洞跟蹤，提供最新漏洞信息

• 漏洞優(yōu)先級和風(fēng)險評估

• 漏洞修復(fù)計劃和策略

• 建立有效的安全補(bǔ)丁管理流程

• 進(jìn)行漏洞驗證和滲透測試

• 定期進(jìn)行安全意識培訓(xùn)和教育

• 持續(xù)改進(jìn)漏洞管理流程

六、總結(jié)

通過修復(fù)企業(yè)安全漏洞，企業(yè)可以實現(xiàn)以下重要目標(biāo)：

• 保護(hù)企業(yè)內(nèi)部數(shù)據(jù)

• 提高系統(tǒng)的穩(wěn)定性和可靠性

• 防止惡意攻擊導(dǎo)致的業(yè)務(wù)中斷

• 保護(hù)企業(yè)品牌聲譽(yù)

• 避免潛在的經(jīng)濟(jì)損失

• 維護(hù)客戶對企業(yè)的信任

• 有助于企業(yè)遵守行業(yè)標(biāo)準(zhǔn)和最佳實踐

• 使企業(yè)符合法規(guī)及合規(guī)要求

洞源實驗室

安全工程師：阿里斯

2023 年 7 月 14 日晚?