压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　毫無疑問，有效的漏洞修復(fù)是信息安全整體策略中很重要的一環(huán)。個人計算機、服務(wù)器、筆記本電腦和通信基礎(chǔ)設(shè)施中的漏洞，往往為入侵者所利用。舉個例子：惡意軟件Chthonic就是通過利用微軟Office軟件漏洞(CVE-2014-176)盜取銀行賬戶信息。

　　漏洞修復(fù)說起來簡單，部署工具找尋漏洞相對而言也很簡單，但要在一個具體組織里實現(xiàn)成功有效的漏洞風(fēng)險防范策略卻不那么簡單。

　　下面列出六個可以降低漏洞風(fēng)險的策略。如果你在單位司職信息安全或漏洞管理，可以考慮一下哪套最有效率。世上無完美，當(dāng)前最有效率的策略才是我們應(yīng)該關(guān)注的重點。

　　1. 救火隊

　　策略：事件響應(yīng)。把漏洞當(dāng)成事件獨立響應(yīng)，壓力之下快速修復(fù)。

　　適應(yīng)癥：你見過拖延癥重度患者嗎？不到最后一刻絕不好好干那種。有些組織與此類似：常規(guī)流程很難執(zhí)行，面對危機才見真章。這種環(huán)境下真要做點什么，最好就是給出個嚴格的截止日期。

　　贊成派：

　　修復(fù)最高優(yōu)先級的漏洞總比什么都不做要強。

　　反對黨：

　　漏洞風(fēng)險余孽橫行。根據(jù)定義，這一策略只針對著名漏洞，給攻擊者留下了大量非著名漏洞的攻擊機會。

　　沒抓住根本原因。事件響應(yīng)策略不太可能影響到組織中漏洞激增的根本因素。

　　可能引發(fā)員工倦怠綜合征。此類組織可能受困于此日久，畢竟人長期應(yīng)對危機終會日漸倦怠。

　　2. 搭積木

　　策略：聚焦設(shè)備。無論漏洞具體情況如何，找出風(fēng)險最高的設(shè)備，優(yōu)先修復(fù)之。如此循環(huán)往復(fù)。

　　適應(yīng)癥：你的系統(tǒng)所有者只關(guān)心設(shè)備或設(shè)備類型嗎？你能分辯出所屬網(wǎng)絡(luò)中大部分資源的擁有者嗎？如果你所在組織圍繞設(shè)備設(shè)立規(guī)范和流程，那這套策略就可能十分有效了。

　　贊成派：

　　迭代改善。因為應(yīng)對的是高風(fēng)險的設(shè)備，你將持續(xù)降低設(shè)備漏洞風(fēng)險的平均值，以使最高風(fēng)險設(shè)備保持承受相對較低的漏洞風(fēng)險。

　　正反饋循環(huán)。系統(tǒng)所有者懶得為單個漏洞疲于奔命，他們會自然而然地尋求批量處理的方法來降低漏洞風(fēng)險，比如說對設(shè)備和應(yīng)用進行更有效率的更新?lián)Q代。

　　反對黨：

　　資源低效使用。只應(yīng)對單個設(shè)備會忽略掉系統(tǒng)性改善的機會。例如，10個不同的系統(tǒng)擁有者在50個不同系統(tǒng)上給Java打補丁而沒認識到有更好的整體處理Java的方法。

　　3. 瓦肯邏輯(編者注：嚴謹?shù)倪壿嬇桑粨诫s個人情感，見《星際迷航》，)

　　策略：聚焦漏洞。給漏洞分級，優(yōu)先修復(fù)最高級漏洞。如此循環(huán)往復(fù)。

　　適應(yīng)癥：你已經(jīng)部署了有效的工作流系統(tǒng)了嗎？可以簡易地分配任務(wù)并跟蹤問效到任務(wù)結(jié)束？如果你的組織像上好潤滑油的機器一樣運作，那就可以開始著手處理機器的漏洞了。

　　贊成派：

　　降低漏洞風(fēng)險相當(dāng)有效。一旦能對漏洞分級并修復(fù)，終將降低風(fēng)險。

　　迭代改善。先把最高風(fēng)險的漏洞修復(fù)了，隨著時間流逝，會逐步降低漏洞風(fēng)險的。

　　反對黨：

　　受限于分級。漏洞不是一次性可以修復(fù)完的，所以不得不分級先。選錯重點，漏洞風(fēng)險將陰魂不散只待利用。

　　可能撿芝麻丟西瓜。也許你真的很擅長找出并修復(fù)單個高風(fēng)險漏洞，但也有可能錯失進行系統(tǒng)性改進以降低漏洞風(fēng)險的機會。

　　4. 蜂巢

　　策略：集中分析，分散行動。信息安全部門負責(zé)對漏洞掃描結(jié)果進行分析，并向整個組織提供極具指導(dǎo)性的修復(fù)建議。

　　適應(yīng)癥：你所在組織依賴清晰的‘上級命令’才能有效運作嗎？信息安全部門在分布式的組織中是集中式的團隊嗎？如果你的組織有一條清晰的命令鏈，那就集中注意力在打造最有效的分析上吧！

　　贊成派：

　　系統(tǒng)性降低漏洞風(fēng)險。一個執(zhí)行良好的集中式策略可以順利走完多個步驟而不用頻繁地向每個參與者解釋整套計劃。

　　風(fēng)險一致性。如果整個組織運作起來，決策就是整個組織級的。執(zhí)行良好的話，可以成為響應(yīng)靈敏的信息安全慣例。

　　反對黨：

　　最小公分母效應(yīng)。集中式分析不太會調(diào)整為個別執(zhí)行。整個組織前進的腳步受制于其中最慢的部分。

　　分析爛，則結(jié)果差。高層的一個分析失誤會影響全局，分析不好的情況下也就留下了系統(tǒng)性問題出現(xiàn)的空間。

　　5. 理事會

　　策略：分布式分析和執(zhí)行，集中式跟蹤問效。明確跟蹤整體進度的度量指標(biāo)，留給組織內(nèi)各個部門一定的自由度以合適的方式在合適的時間降低漏洞風(fēng)險。

　　適應(yīng)癥：你所在組織的各個部門可以自由決定工作方式么？你是在一個注重指標(biāo)的組織內(nèi)工作么？如果你所在組織喜歡獨立自主，喜歡追求結(jié)果的工作方式，那就把重點放在指標(biāo)上努力達成目標(biāo)吧。

　　贊成派：

　　業(yè)務(wù)主導(dǎo)。選擇對業(yè)務(wù)真正有用的指標(biāo)，可促使漏洞風(fēng)險降低行為有的放矢。

　　各部門分散執(zhí)行，可以指標(biāo)為基礎(chǔ)產(chǎn)生競爭，促進發(fā)展。

　　反對黨：

　　爛指標(biāo)，壞結(jié)果。萬一定了一堆無關(guān)緊要的指標(biāo)，那各部門就會疲于奔命而不是降低風(fēng)險。

　　有競爭，就有墊底。很多組織里，這不是個問題，但它會引發(fā)內(nèi)部沖突。

　　6. 過程優(yōu)化器

　　策略：減小攻擊界面。別管那些漏洞了，關(guān)注點放在整體攻擊界面的減小上。可以采取一些激進的措施，如最小權(quán)限發(fā)放、取消不必要服務(wù)和系統(tǒng)等。然后以漏洞風(fēng)險指標(biāo)衡量一下這些做法的效果。

　　適應(yīng)癥：你的組織不能有效摒棄某些系統(tǒng)嗎？員工總能在系統(tǒng)上安裝任何軟件嗎？如果你組織內(nèi)部的數(shù)字雜波就是它自身最大的威脅，那來個內(nèi)部大掃除就能剔除主要漏洞風(fēng)險了。

　　贊成派：

　　漏洞風(fēng)險的急劇降低。因為漏洞常出現(xiàn)在應(yīng)用程序里，清除那些不需要的應(yīng)用可以大幅減少漏洞。

　　防范未知漏洞。如果你已經(jīng)卸載了某應(yīng)用程序，那此應(yīng)用程序的新漏洞也就不能影響你了。

　　管理良好的環(huán)境帶來附帶效益。重點放在配置和減小攻擊界面上通常能建立一個更合理有效的環(huán)境，也就能縮減成本、提高效率、增強穩(wěn)定性。

　　反對黨：

　　效用存續(xù)期有限。一旦你已經(jīng)卸載了大部分不必要的應(yīng)用，也夯實了主要配置，在剩下的必要系統(tǒng)中尋找漏洞也就變得更難了。

　　高優(yōu)先級風(fēng)險空白。如果你聚焦在減小攻擊界面上，就有可能忽視掉關(guān)鍵系統(tǒng)中的嚴重漏洞。

　　如你所見，降低漏洞風(fēng)險有多種選擇。世上并沒有萬能藥，組織性質(zhì)不同，適應(yīng)癥也不同。采用正確的工具可以幫助降低漏洞風(fēng)險，但知曉自家組織的運作方式才是工具是作為昂貴的產(chǎn)品還是有效的程序的分水嶺。