亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　毫無疑問，有效的漏洞修復(fù)是信息安全整體策略中很重要的一環(huán)。個(gè)人計(jì)算機(jī)、服務(wù)器、筆記本電腦和通信基礎(chǔ)設(shè)施中的漏洞，往往為入侵者所利用。舉個(gè)例子：惡意軟件Chthonic就是通過利用微軟Office軟件漏洞（CVE-2014-176）盜取銀行賬戶信息。

　　入 侵事件自然與惡意軟件脫不了干系，但給漏洞打上補(bǔ)丁卻能成功阻止其感染主機(jī)。漏洞修復(fù)說起來簡(jiǎn)單。部署工具找尋漏洞相對(duì)而言也很簡(jiǎn)單，但要在一個(gè)具體組織 里實(shí)現(xiàn)成功有效的漏洞風(fēng)險(xiǎn)防范策略卻不那么簡(jiǎn)單。每個(gè)組織都有各自獨(dú)特的文化氛圍，一套策略走遍天下是不可能的。采用與組織文化不相適應(yīng)的漏洞修復(fù)策略純 屬閑著沒事看看自己到底有多沒效率。

　　下面列出六個(gè)可以降低漏洞風(fēng)險(xiǎn)的策略。如果你在單位司職信息安全或漏洞管理，可以考慮一下哪套最有效率。世上無完美，當(dāng)前最有效率的策略才是我們應(yīng)該關(guān)注的重點(diǎn)。

　　1. 救火隊(duì)

　　策略：事件響應(yīng)。把漏洞當(dāng)成事件獨(dú)立響應(yīng)，壓力之下快速修復(fù)。

　　適應(yīng)癥：你見過拖延癥重度患者嗎？不到最后一刻絕不好好干那種。有些組織與此類似：常規(guī)流程很難執(zhí)行，面對(duì)危機(jī)才見真章。這種環(huán)境下真要做點(diǎn)什么，最好就是給出個(gè)嚴(yán)格的截止日期。

　　贊成派：

　　· 修復(fù)最高優(yōu)先級(jí)的漏洞總比什么都不做要強(qiáng)。

　　反對(duì)黨：

　　· 漏洞風(fēng)險(xiǎn)余孽橫行。根據(jù)定義，這一策略只針對(duì)著名漏洞，給攻擊者留下了大量非著名漏洞的攻擊機(jī)會(huì)。

　　· 沒抓住根本原因。事件響應(yīng)策略不太可能影響到組織中漏洞激增的根本因素。

　　· 可能引發(fā)員工倦怠綜合征。此類組織可能受困于此日久，畢竟人長(zhǎng)期應(yīng)對(duì)危機(jī)終會(huì)日漸倦怠。

　　2. 搭積木

　　策略：聚焦設(shè)備。無論漏洞具體情況如何，找出風(fēng)險(xiǎn)最高的設(shè)備，優(yōu)先修復(fù)之。如此循環(huán)往復(fù)。

　　適應(yīng)癥：你的系統(tǒng)所有者只關(guān)心設(shè)備或設(shè)備類型嗎？你能分辯出所屬網(wǎng)絡(luò)中大部分資源的擁有者嗎？如果你所在組織圍繞設(shè)備設(shè)立規(guī)范和流程，那這套策略就可能十分有效了。

　　贊成派：

　　· 迭代改善。因?yàn)閼?yīng)對(duì)的是高風(fēng)險(xiǎn)的設(shè)備，你將持續(xù)降低設(shè)備漏洞風(fēng)險(xiǎn)的平均值，以使最高風(fēng)險(xiǎn)設(shè)備保持承受相對(duì)較低的漏洞風(fēng)險(xiǎn)。

　　· 正反饋循環(huán)。系統(tǒng)所有者懶得為單個(gè)漏洞疲于奔命，他們會(huì)自然而然地尋求批量處理的方法來降低漏洞風(fēng)險(xiǎn)，比如說對(duì)設(shè)備和應(yīng)用進(jìn)行更有效率的更新?lián)Q代。

　　反對(duì)黨：

　　· 資源低效使用。只應(yīng)對(duì)單個(gè)設(shè)備會(huì)忽略掉系統(tǒng)性改善的機(jī)會(huì)。例如，10個(gè)不同的系統(tǒng)擁有者在50個(gè)不同系統(tǒng)上給Java打補(bǔ)丁而沒認(rèn)識(shí)到有更好的整體處理Java的方法。

　　3. 瓦肯邏輯（編者注：嚴(yán)謹(jǐn)?shù)倪壿嬇桑粨诫s個(gè)人情感，見《星際迷航》，）

　　策略：聚焦漏洞。給漏洞分級(jí)，優(yōu)先修復(fù)最高級(jí)漏洞。如此循環(huán)往復(fù)。

　　適應(yīng)癥：你已經(jīng)部署了有效的工作流系統(tǒng)了嗎？可以簡(jiǎn)易地分配任務(wù)并跟蹤問效到任務(wù)結(jié)束？如果你的組織像上好潤(rùn)滑油的機(jī)器一樣運(yùn)作，那就可以開始著手處理機(jī)器的漏洞了。

　　贊成派：

　　· 降低漏洞風(fēng)險(xiǎn)相當(dāng)有效。一旦能對(duì)漏洞分級(jí)并修復(fù)，終將降低風(fēng)險(xiǎn)。

　　· 迭代改善。先把最高風(fēng)險(xiǎn)的漏洞修復(fù)了，隨著時(shí)間流逝，會(huì)逐步降低漏洞風(fēng)險(xiǎn)的。

　　反對(duì)黨：

　　· 受限于分級(jí)。漏洞不是一次性可以修復(fù)完的，所以不得不分級(jí)先。選錯(cuò)重點(diǎn)，漏洞風(fēng)險(xiǎn)將陰魂不散只待利用。

　　· 可能撿芝麻丟西瓜。也許你真的很擅長(zhǎng)找出并修復(fù)單個(gè)高風(fēng)險(xiǎn)漏洞，但也有可能錯(cuò)失進(jìn)行系統(tǒng)性改進(jìn)以降低漏洞風(fēng)險(xiǎn)的機(jī)會(huì)。

　　4. 蜂巢

　　策略：集中分析，分散行動(dòng)。信息安全部門負(fù)責(zé)對(duì)漏洞掃描結(jié)果進(jìn)行分析，并向整個(gè)組織提供極具指導(dǎo)性的修復(fù)建議。

　　適應(yīng)癥：你所在組織依賴清晰的‘上級(jí)命令’才能有效運(yùn)作嗎？信息安全部門在分布式的組織中是集中式的團(tuán)隊(duì)嗎？如果你的組織有一條清晰的命令鏈，那就集中注意力在打造最有效的分析上吧！

　　贊成派：

　　· 系統(tǒng)性降低漏洞風(fēng)險(xiǎn)。一個(gè)執(zhí)行良好的集中式策略可以順利走完多個(gè)步驟而不用頻繁地向每個(gè)參與者解釋整套計(jì)劃。

　　· 風(fēng)險(xiǎn)一致性。如果整個(gè)組織運(yùn)作起來，決策就是整個(gè)組織級(jí)的。執(zhí)行良好的話，可以成為響應(yīng)靈敏的信息安全慣例。

　　反對(duì)黨：

　　· 最小公分母效應(yīng)。集中式分析不太會(huì)調(diào)整為個(gè)別執(zhí)行。整個(gè)組織前進(jìn)的腳步受制于其中最慢的部分。

　　· 分析爛，則結(jié)果差。高層的一個(gè)分析失誤會(huì)影響全局，分析不好的情況下也就留下了系統(tǒng)性問題出現(xiàn)的空間。

　　5. 理事會(huì)

　　策略：分布式分析和執(zhí)行，集中式跟蹤問效。明確跟蹤整體進(jìn)度的度量指標(biāo)，留給組織內(nèi)各個(gè)部門一定的自由度以合適的方式在合適的時(shí)間降低漏洞風(fēng)險(xiǎn)。

　　適應(yīng)癥：你所在組織的各個(gè)部門可以自由決定工作方式么？你是在一個(gè)注重指標(biāo)的組織內(nèi)工作么？如果你所在組織喜歡獨(dú)立自主，喜歡追求結(jié)果的工作方式，那就把重點(diǎn)放在指標(biāo)上努力達(dá)成目標(biāo)吧。

　　贊成派：

　　· 業(yè)務(wù)主導(dǎo)。選擇對(duì)業(yè)務(wù)真正有用的指標(biāo)，可促使漏洞風(fēng)險(xiǎn)降低行為有的放矢。

　　· 各部門分散執(zhí)行，可以指標(biāo)為基礎(chǔ)產(chǎn)生競(jìng)爭(zhēng)，促進(jìn)發(fā)展。

　　反對(duì)黨：

　　· 爛指標(biāo)，壞結(jié)果。萬一定了一堆無關(guān)緊要的指標(biāo)，那各部門就會(huì)疲于奔命而不是降低風(fēng)險(xiǎn)。

　　· 有競(jìng)爭(zhēng)，就有墊底。很多組織里，這不是個(gè)問題，但它會(huì)引發(fā)內(nèi)部沖突。

　　6. 過程優(yōu)化器

　　策略：減小攻擊界面。別管那些漏洞了，關(guān)注點(diǎn)放在整體攻擊界面的減小上?？梢圆扇∫恍┘みM(jìn)的措施，如最小權(quán)限發(fā)放、取消不必要服務(wù)和系統(tǒng)等。然后以漏洞風(fēng)險(xiǎn)指標(biāo)衡量一下這些做法的效果。

　　適應(yīng)癥：你的組織不能有效摒棄某些系統(tǒng)嗎？員工總能在系統(tǒng)上安裝任何軟件嗎？如果你組織內(nèi)部的數(shù)字雜波就是它自身最大的威脅，那來個(gè)內(nèi)部大掃除就能剔除主要漏洞風(fēng)險(xiǎn)了。

　　贊成派：

　　· 漏洞風(fēng)險(xiǎn)的急劇降低。因?yàn)槁┒闯３霈F(xiàn)在應(yīng)用程序里，清除那些不需要的應(yīng)用可以大幅減少漏洞。

　　· 防范未知漏洞。如果你已經(jīng)卸載了某應(yīng)用程序，那此應(yīng)用程序的新漏洞也就不能影響你了。

　　· 管理良好的環(huán)境帶來附帶效益。重點(diǎn)放在配置和減小攻擊界面上通常能建立一個(gè)更合理有效的環(huán)境，也就能縮減成本、提高效率、增強(qiáng)穩(wěn)定性。

　　反對(duì)黨：

　　· 效用存續(xù)期有限。一旦你已經(jīng)卸載了大部分不必要的應(yīng)用，也夯實(shí)了主要配置，在剩下的必要系統(tǒng)中尋找漏洞也就變得更難了。

　　· 高優(yōu)先級(jí)風(fēng)險(xiǎn)空白。如果你聚焦在減小攻擊界面上，就有可能忽視掉關(guān)鍵系統(tǒng)中的嚴(yán)重漏洞。

　　如你所見，降低漏洞風(fēng)險(xiǎn)有多種選擇。世上并沒有萬能藥，組織性質(zhì)不同，適應(yīng)癥也不同。采用正確的工具可以幫助降低漏洞風(fēng)險(xiǎn)，但知曉自家組織的運(yùn)作方式才是工具是作為昂貴的產(chǎn)品還是有效的程序的分水嶺。