大多數公司經常使用安全漏洞掃描軟件來清查計算機資產。其想法是，你運行掃描軟件后，按危急程度列出每臺計算機上的眾多安全漏洞，然后逐一修復，因而讓貴公司更難被黑客攻擊。

[[136219]]

只可惜，這種想法很少最后成為現實。本人參觀的每家公司最后列出了一長串安全漏洞，可是之后對它們基本上無所作為。我經常看到一些公司存在成千上萬個明顯的安全漏洞。上個月我就碰到過一家公司存在的安全漏洞居然超過100萬個。

為什么大多數公司似乎滿足于僅僅發現和登記漏洞安全，而不是隨后也修復這些漏洞呢?當然，安全漏洞的絕對數量之多肯定讓人頭大。我的意思是說，如果貴公司環境中的每臺計算機都有數十個至數百個安全漏洞，該從何處開始下手?

從最要緊的抓起

我可以回答這個問題：首先解決那些風險最高、危急程度最高的安全漏洞。先從最關鍵的服務器和管理員用戶的計算機開始查起，然后再查不大關鍵的計算機和用戶。這么做的前提是假設你準確清查了計算機環境，詳細列出了最關鍵的應用程序，而且深入了解它們之間的依賴關系。

比如說，你的人力資源系統可能很關鍵，但是還需要別的什么系統來支持它?如今，大多數系統需要網絡設備、接口、DNS、或許活動目錄以及其他基礎設施支持服務。關鍵的用戶工作站不僅包括網絡和基礎設施管理員，還包括人力資源系統的權限提升的用戶。

如果你確確實實認真分析了關鍵業務型系統及它們之間的所有依賴關系，可能會發現，40%或更多的系統被認為是關鍵型。關鍵系統不應該含有危急的安全漏洞，是不是?

當然，不是所有被列為“關鍵”的系統都一樣重要。大多數安全漏洞掃描軟件程序給安全漏洞排序時使用簡單的描述(低風險、中風險、高風險或危急)，或者使用數值化評分系統。后者方面最有名的例子之一就是常見通用漏洞評分系統(Common Vulnerability Scoring System)，它將安全漏洞按從低值(0.0)到高值(10.0)來進行排序。我尤其喜歡包括其他因素的評分系統，比如修復漏洞需要的工作以及該安全漏洞在外頭是否被人積極利用。

清理周邊

不管第三方如何看待關鍵或非關鍵系統，真正重要的是，貴公司環境易受安全漏洞影響的程度以及它在過去是不是成功闖入了貴公司的系統。你的業務部門及/或基礎設施可能有特殊特點，可能會盡量減小或提升某個安全漏洞在貴公司環境的風險系數。

另外，安全漏洞掃描軟件經常報告每一個安全漏洞，不管顯示該安全漏洞的軟件是不是被積極使用。我經常發現有的軟件不僅數年來沒有運行過，而且不太可能再次運行。大多數安全漏洞掃描軟件不會作出這種區別，不過這一點很重要。

牢記一點：連最出色的安全漏洞掃描軟件也并不是非常正確。我知道，自己會從廠商那里收到宣稱其掃描軟件正確無誤的電子郵件，但是安全漏洞掃描軟件比很不可靠的反惡意軟件軟件還不可靠。只要我運行安全漏洞掃描軟件以便手動評估系統，我總是會發現多出50%的安全漏洞。

這不能怪罪于安全漏洞掃描軟件。它只能查找本身旨在可以查找的那些安全漏洞，而計算機異常復雜。一名較出色的取證分析研究人員或黑客會發現安全漏洞掃描軟件的“漏網之魚”――奇怪地方的異常文件名、不應該出現的軟件、密碼列表，諸如此類;這會導致留下瀏覽路徑記錄(breadcrumb trail)，只有人類才能跟蹤分析。

通常來說，大多數安全漏洞掃描在查找沒有打上補丁的軟件方面很糟糕。一些最出色的補丁管理軟件程序能檢測出成千上萬個不同的程序。最出色的安全漏洞掃描軟件只會查找大約幾百個程序。

防御行動

要關注讓黑客有機會得以潛入貴公司環境的安全漏洞。太多的人一心想知道不法分子一旦手里已經拿到了“打開王國的鑰匙”，會搞什么破壞活動。他們會竊取網絡登錄信息嗎?他們會植入記錄擊鍵內容的惡意軟件嗎?他們會竊取關鍵信息嗎?

一旦不法分子潛入進來，獲得了提升的權限，這實際上表明勝負已見分曉：你輸定了。所以，而是應當首先致力于阻止入侵者獲得訪問你網絡的權限提升的登錄信息。

這就引出了另一個忠告：有些安全漏洞(比如無知的用戶)是安全漏洞掃描軟件永遠發現不了的。大多數公司告訴我，它們的環境最經常被沒有打上補丁的軟件和社會工程學伎倆鉆空子。如果你擯棄了易受攻擊的軟件，別忘了對你的用戶加強安全培訓。

如果已經列出了成千上萬個安全漏洞，不要坐在那里，什么都不做。要是不堵住其中最危急的安全漏洞，你就無法保護自身環境的安全。

當然，負責運行安全漏洞掃描軟件的每個人早已知道這一點。我這是說了一套你本來就了解的。我認識到，不是你不懂這一點，而是管理層不懂這一點。帶著我的祝福，將本文鏈接發給管理層吧。

英文：Time to address your 100,000 vulnerabilities