二八科技-二八科技新聞資訊

日前，一年一度的大型線上攻防對抗大賽已圓滿落下帷幕。但今年的演習尤其熱鬧，乙方安全產品頻頻被曝出0Day漏洞，各種真假消息滿天飛，讓甲方企業每天都惴惴不安，開始用看”內鬼“的眼光看待自己的安全防線。為應對安全產品0Day問題，有的甲方企業甚至采用了關機、拔網線、下線安全產品等極端方式，直接讓業務系統處于“裸奔”狀態。

這種亂象不禁讓業界陷入深思。

甲方企業平日幾乎不會遇到0Day攻擊，但在攻防對抗大賽期間，平日精心構筑的安全體系集中被曝出多個0Day漏洞。這真是巧合?有業內專家推測，這極有可能是攻擊方將前期早已積累好的0Day武器庫，在這段時間內集中曝出，讓防守方措手不及。但這種完全失去了攻防演練初衷的行為真的可取嗎?在不知道這些漏洞是否也被其他別有用心的人或組織掌握的情況下，為什么不盡早通知相關企業和廠商進行修復?在今天這種復雜的國際形勢下，如果這些0Day漏洞一旦被敵對勢力獲取，后果將不堪設想。

那么我們該如何看待0Day漏洞?0Day漏洞曝出后，企業該如何應對?安全從業者又該如何樹立正確的“漏洞觀”呢?

不要幻想安全產品沒有漏洞

只要有代碼，就有漏洞。據公開數據顯示，每1000行代碼就會有4-6個漏洞，這一規律也同樣適用于安全產品。因此，將“天下無洞”的使命，全交給安全產品來承擔，不現實也不可能。

0Day漏洞本身就是個永恒的問題，它是對一種未公開漏洞的特殊稱呼，本質來說還是一種漏洞，不過這種漏洞還未被公開。IT系統的0Day一直層出不窮，從操作系統、中間件、應用系統、軟件以及使用的開發庫、插件等都會出現各種0Day，可以說，0Day漏洞就是伴隨著各類IT產品的出現而產生。因此，專門有部分安全產品是為了防止0Day攻擊而存在的。

但是安全產品自身也無法避免0Day攻擊，因為安全產品本質上也是一種代碼開發出來的產品，哪怕是國際的一線安全廠商，比如Palo Alto Networks、Trend Micro等在2020年也持續有漏洞曝出。因此，將“安全漏洞”和其它系統缺陷問題區分對待并沒有實際意義，因為任何一個缺陷在某種條件下都可能成為一個安全漏洞。絕對完美的產品是不存在的，任何軟件和硬件工程下生產的產品都會出現漏洞，只是還沒有被發現或還沒有被利用，安全隱患始終存在。

面對漏洞不可因噎廢食

正如Linux的創始人Linus Torvalds說過：我們需要盡量避免漏洞，但不可能完全消除。技術本是中性，安全產品也一定存在漏洞，沒有必要因為這次演習期間，被真真假假的漏洞嚇到，就因噎廢食，開始懷疑安全產品的價值。

沒被曝出漏洞的產品，不代表就比已經被曝出漏洞的產品更安全，可能只是漏洞未被發現。安全產品的價值是減少IT鏈條上的風險和入侵，這一核心價值不會因為漏洞的存在而消失，合理部署安全防護產品仍然是抵御網絡攻擊的最佳方式。

作為用戶，需要正視安全產品本身存在漏洞的現實，但更要認識到，對這些漏洞的處置，也是和常見的操作系統、數據庫、網絡產品的漏洞一樣。面對0Day漏洞，切莫聞“洞”色變，自亂陣腳，大部分都可以通過合理配置、規范操作流程來規避。同時，建立良好的安全意識和運維習慣，就可以做到對常見安全事件“免疫“。

0Day漏洞不是企業攻防常態。正如前文所說，0Day在日常安全工作中并不多見。微軟曾在一份安全漏洞報告中稱，所謂的0Day漏洞威脅被夸大了，由0Day漏洞引入的病毒小于1。相反，一些社會工程攻擊，如釣魚行為，占所有惡意程序的傳播總量的45。單純依靠0Day漏洞攻擊成功事件所占比例，遠低于包括弱密碼、不合規配置、安全意識不夠等基礎工作不到位引發的安全事件。這就猶如每年因為飛機失事導致死亡的人數，遠低于其他交通事故的死亡人數。

當然，這并不是說安全廠商不需要加強自身產品的安全性，相反，安全廠商更需要加大對產品安全性的投入。對于安全從業者而言，需要樹立正確的漏洞觀念：漏洞不可怕，可怕的是對待安全的態度。既不可幻想“天下無洞”，也不可“因噎廢食”。猶如火的出現推動了社會進步，但人們并不會因為懼怕火災所造成的傷害，就倒退回原始時代茹毛飲血的生活。

建立正確的漏洞披露機制

既然漏洞不可避免，那么建立一個安全有效的漏洞披露和溝通機制就至關重要。目前這種集中曝出安全產品漏洞的行為，不僅將安全產業置于一種被質疑的尷尬境地，也給甲方企業帶來了極大的安全風險，更給國家安全帶來了安全隱患。不管是一時的炫技，還是有針對性地行為，都絕不是一種負責任的態度。

目前，針對漏洞管理，國家層面有CNNVD、CNVD等國家漏洞庫，由國家相關職能部門維護運營，負責統一采集收錄安全漏洞和發布漏洞預警公告，有著較為完善的漏洞資源收集、通報以及消控機制。漏洞庫收錄漏洞后，會通知廠商采取漏洞修補或防范措施后再予以公開，供安全研究人員學習和借鑒，幫助廠商及時查缺補漏，推動我國網絡安全行業良性發展。

2019年6月18日，工業和信息化部發布了《公開征求對lt;網絡安全漏洞管理規定征求意見稿gt;的意見》以下簡稱《意見》，全文共十二條，系統地規范了網絡產品、服務、系統的網絡安全漏洞驗證、修補、防范、報告和信息發布等行為。

在《意見》中明確規定，第三方組織或個人向社會發布網絡安全漏洞信息的要求：必要、真實、客觀、有利于防范和應對網絡安全風險。

不得在“官宣”前搶先向社會發布。即不得在網絡產品或服務提供商和網絡運營商向社會或用戶發布漏洞補救或防范措施之前發布相關漏洞信息，以免惡意攻擊者利用漏洞信息給更多的組織機構造成危害。

不得夸大影響，營造恐慌氣氛。即不得刻意夸大漏洞的危害和風險。

不得提供乘人之危的方法、程序和工具。即不得發布和提供專門用于利用網絡產品、服務、系統漏洞從事危害網絡安全活動的方法、程序和工具。

網信辦2019年11月20日發布的關于《網絡安全威脅信息發布管理辦法征求意見稿》中規定，不利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭;發布網絡安全威脅信息，應事先征求網絡和信息系統運營者書面意見，并必須向主管部門報告。同時，發布網絡安全威脅信息不得危害國家安全和社會公共利益，不得侵犯公民、法人和其他組織的合法權益。

總結

甲方企業：針對安全產品漏洞，以“拔網線”為代表的過度反應，并不能解決安全產品的0Day問題。甲方企業需要接受漏洞不可避免的現實，用合理的眼光看待安全產品的漏洞，做好漏洞管理消控工作，切不可因噎廢食。

安全企業：在當前的安全新形勢下，安全行業務必要改變過去“重業務，輕安全”的態度。

很多安全廠商雖然都擁有自己的攻防團隊，但是在自家產品的安全性投入上遠遠不夠。打鐵還需自身硬，安全廠商需要把安全的第一道防線放在自己產品的源頭，強化自身的開發管理，加強產品的安全性，以及做好相關的升級服務。

最后，要充分認識到漏洞披露的重要性。在網絡空間博弈日趨激烈的今天，漏洞已經成為一種戰略資源，直接關系到國家網絡空間安全。不規范的漏洞披露傷害的是用戶和產業，甚至危及國家安全。維護網絡安全，人人有責。在法律法規或漏洞披露策略的框架下，通過安全合理的漏洞披露渠道和機制，才能夠促進安全社區的健康發展和安全技術的進步，推動我國網絡安全事業的健康發展，為我國整體網絡安全防線貢獻應有的力量。