高危漏洞并不意味着需最先修复

发布时间：2022-09-01 12:34 所属栏目：53 来源：互联网

导读：

导读：安全团队每天都会被越来越多的漏洞所淹没，但通过改变漏洞的优先级，可以极大地减少修补工作量。大多数企业都会关注通用漏洞评分系统(CVSS)框架中对缺陷的评分，评分范围从0到10，并根据漏洞的特点，分为低、中、高和极危。一般而言，企业会从被视为极危的

　　安全团队每天都会被越来越多的漏洞所淹没，但通过改变漏洞的优先级，可以极大地减少修补工作量。

　　大多数企业都会关注通用漏洞评分系统(CVSS)框架中对缺陷的评分，评分范围从0到10，并根据漏洞的特点，分为低、中、高和极危。一般而言，企业会从被视为“极危”的漏洞开始补救工作，然后再高中低逐级往下解决。

　　不仅如此，在实际的漏洞修补工作中，许多补丁是手动打上的，更为糟糕的是，有些漏洞的性质很难快速进入修补流程，时间长的可能需要几个月，往往还需要系统停机。

　　一方面，组织在处理漏洞和补丁管理方面的资源和能力十分有限。另一方面漏洞发现和披露的数量逐年增加。因为只要人们编写代码，漏洞就会出现，修补工作就跟不上。因此，一个看上去比较合理化的建议是，首先处理实际加载到内存中的漏洞，如果再有额外的时间或资源再处理其他的漏洞。因为只有这些能够进入到内存中的漏洞，才是真正重要的，真正构成威胁的漏洞。

　　但问题是，那些从未加载到内存的漏洞真得没有风险吗？谁能保证这些漏洞以后不会加载到内存？理论上而言，存在漏洞的软件，即使没有运行，仍然存在风险。因此，一个非常有效且简便易行的方法就是，删除那些执行指定任务时系统不需要的软件。

　　方法论有了，但最大的问题在于，现实中的大多数组织缺乏对其所有信息资产的了解，也不知道哪些软件程序的哪些部分会加载到内存中。所以，一切又回到了对企业资产环境的充分了解上。

　　不清楚保护对象，何谈保护？
　　不管怎样，组织面临的风险永远存在，修补能力也永远赶不上漏洞的增长。回归到最佳实践上，那就是合理利用现有的资源、工具和预算，将工作重点放在与自身更相关的漏洞上。

（编辑：ASP站长网）