以漏洞攻擊為例，安全419觀察發(fā)現(xiàn)，上游供應(yīng)鏈已經(jīng)開(kāi)始嘗試使用新的方法來(lái)緩解用戶(hù)拖延更新安全補(bǔ)丁的傳統(tǒng)“壞習(xí)慣”。比如在全球擁有大量企業(yè)用戶(hù)的WordPress，最近通過(guò)強(qiáng)制安裝更新解決了一個(gè)最近發(fā)現(xiàn)的高危漏洞。

隋剛認(rèn)為WordPress的目的值得鼓勵(lì)，但行為本身需要進(jìn)一步觀察。

他指出，一方面需要及時(shí)修復(fù)漏洞，但也要考慮用戶(hù)業(yè)務(wù)系統(tǒng)部署的實(shí)際場(chǎng)景。以企業(yè)的關(guān)鍵業(yè)務(wù)和服務(wù)公眾的關(guān)鍵基礎(chǔ)設(shè)施為例，必須保證在線業(yè)務(wù)的連續(xù)性，不允許服務(wù)中斷。這也是一些特殊行業(yè)在修復(fù)漏洞時(shí)面臨的困境之一；另一方面，這種強(qiáng)制更新推送機(jī)制本身也存在安全隱患。如果黑客找到可用的方法，入侵將更加直接。

“所以還是把選擇權(quán)放在用戶(hù)手里比較好。系統(tǒng)的任何變化都需要謹(jǐn)慎處理，因此硬網(wǎng)絡(luò)安全防護(hù)產(chǎn)品在解決企業(yè)全方位網(wǎng)絡(luò)安全問(wèn)題中仍然必不可少?！彼鍎傔M(jìn)一步表示，比如知道于闖云防護(hù)服務(wù)，保證在線業(yè)務(wù)的持續(xù)運(yùn)行，用戶(hù)端其實(shí)不必受到漏洞攻擊的干擾。

這也是云防御的高價(jià)值所在。所有為企業(yè)在線業(yè)務(wù)提供安全保障的技術(shù)手段都先進(jìn)到云端，用戶(hù)可以有充足的時(shí)間規(guī)劃和解決復(fù)雜系統(tǒng)漏洞的安全更新問(wèn)題。

我國(guó)《網(wǎng)絡(luò)安全法》規(guī)定，“網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，及時(shí)告知用戶(hù)，并按照規(guī)定向有關(guān)主管部門(mén)報(bào)告?！?；“網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者應(yīng)當(dāng)持續(xù)為其產(chǎn)品和服務(wù)提供安全維護(hù)；在規(guī)定或者約定的期限內(nèi)，不得終止提供安全維護(hù)?！?/p>

《網(wǎng)絡(luò)安全法》對(duì)企業(yè)端也有規(guī)定，指出“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處理系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵等安全風(fēng)險(xiǎn)”；“一旦發(fā)生危及網(wǎng)絡(luò)安全的事件，立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按規(guī)定向有關(guān)主管部門(mén)報(bào)告?！?/p>

這意味著來(lái)自漏洞攻擊的安全處置機(jī)制已經(jīng)被上位法明確，產(chǎn)品供應(yīng)商需要及時(shí)對(duì)漏洞采取補(bǔ)救措施。比如發(fā)布安全補(bǔ)丁，企業(yè)端需要及時(shí)響應(yīng)，以預(yù)案的形式有效應(yīng)對(duì)相應(yīng)的風(fēng)險(xiǎn)。具體解讀，包括漏洞的及時(shí)修復(fù)，以及防御能力的建設(shè)。

美國(guó)CISA(Network Security and infra structure Security Agency)今年年初發(fā)布的一份報(bào)告披露，一份已知被利用的漏洞列表包含15個(gè)漏洞，其中只有4個(gè)是最新的漏洞，屬于0day漏洞的范疇。其余11個(gè)漏洞可以追溯到更長(zhǎng)的歷史，它們都有自己的CVE編號(hào)。這也意味著相關(guān)廠商已經(jīng)為其提供了安全修復(fù)，而企業(yè)和組織修復(fù)漏洞的速度很慢。

根據(jù)此前Security 419對(duì)多家安全公司的采訪，這種現(xiàn)象在國(guó)內(nèi)也同樣存在，企業(yè)端的bug修復(fù)滯后現(xiàn)象普遍存在。

那么，在法律要求的閉環(huán)響應(yīng)措施中，現(xiàn)狀是仍然會(huì)有大量的安全威脅。最大的問(wèn)題是什么？其實(shí)就是企業(yè)方如何及時(shí)知道風(fēng)險(xiǎn)的發(fā)生。并不是所有的漏洞都像Apache Log4j2那么轟動(dòng)，幾乎所有的企業(yè)都在加班加點(diǎn)的修復(fù)。事實(shí)上，大量的安全漏洞并不為企業(yè)所知，這就導(dǎo)致了攻擊者更有效的利用。

隋剛進(jìn)一步表示，原安全廠商可以為企業(yè)做的更多，要知道于闖404實(shí)驗(yàn)室此前已經(jīng)根據(jù)他們開(kāi)發(fā)和維護(hù)的ZoomEye網(wǎng)絡(luò)空間搜索引擎和Seebug漏洞社區(qū)這兩款產(chǎn)品的能力，發(fā)布了最新的漏洞研究報(bào)告，為企業(yè)提供預(yù)警和修復(fù)?，F(xiàn)在由于政策監(jiān)管的原因，相關(guān)能力有所收緊。

當(dāng)全球網(wǎng)絡(luò)犯罪集中于勒索攻擊作為主要的最終攻擊形式時(shí)，這種更有目的性的(贖金)攻擊會(huì)逐漸放大對(duì)網(wǎng)絡(luò)安全的威脅。剝削是突破企業(yè)網(wǎng)絡(luò)最有效的方法。在威脅范圍更廣的勒索軟件即服務(wù)(ransomware-as-a-service)模式下，大量已有的漏洞被添加到了方便的工具中，沒(méi)有技術(shù)背景的攻擊者也能利用。

這也意味著，未來(lái)黑客基于漏洞的攻擊只會(huì)增加不會(huì)減少，企業(yè)必須采取有效措施積極應(yīng)對(duì)。

#網(wǎng)絡(luò)安全# #黑客#