企業應該如何應對上報的安全漏洞報告？

雖然現在外面有很多人都非常願意幫助你的企業去解決你們的安全問題，但企業是不是也應該思考一下如何通過自己的努力來處理這些安全問題呢？

你的企業環境中是否存在安全問題呢？這種可能性很高，但是你無法保證第一個發現這個安全漏洞的人是你公司的技術人員。就算你是那個幸運兒，就算你的企業既沒有發生過數據泄漏，也沒有遭受過勒索軟體的攻擊，但你肯定也從某位安全專家或者某位專業客戶的口中了解過這些安全問題。他們的善意提醒，你是否真的聽進了呢？

Troy Hunt是一位安全顧問，他自己也在管理著一個網站，如果你懷疑自己的賬號被入侵或者資料庫發生了泄漏，那麼你就可以訪問這個網站來進行確認。而他的這一角色則要求他需要經常與其他的企業或組織聯繫，以溝通數據泄漏和安全漏洞等問題。

Troy Hunt表示：「很多企業並不會去理睬這些所謂的善意提醒。我當初在網上發現了印度病理實驗室的四萬多名病人的醫療報告，其中還包括很多敏感信息，這些數據全部被公開在網上了。當時我便第一時間與實驗室取得了聯繫，但並沒有起到什麼效果。而且我發現，想要與某個公司去溝通這些安全問題，其實是非常困難的，大型公司也不例外。我也發現過很多次數據泄漏事件，但我真的沒辦法聯繫到相關組織。他們的聯繫郵箱在不停的變換，就連網站域名的WHOIS信息中的聯繫方式都在不斷變換。」

另一位不願透露姓名的安全專家表示，他曾在一家大型網上商城中發現了一個SQL注入漏洞，但網站並沒有留下任何的聯繫方式，他們只在網站中提供了一個用於提交問題的表單。大約在十天之後，該商城才通知他說相關問題已經上報給商城管理員了。而兩天之後，他竟然收到了一份關於商城客戶服務體驗度的問卷調查。直到目前為止，該商城都沒有去處理這個安全漏洞。

響應速度慢也是很正常的，因為很多大型組織中並沒有安排技術人員來專門負責處理安全漏洞，而且也沒有部署任何的安全響應策略。Hunt說到：「他當初曾在網上發現了Michael Page公司（一家專業從事職位招聘和人力解決方案的服務機構）的客戶資料庫備份，當他將此事件告知該公司之後，他們竟然花了一周的時間才弄清楚到底發生了什麼。」

研究人員在2015年曾對福布斯全球2000強企業進行過一項調查，調查結果顯示：

在所有的調查對象中，只有6%的企業對外公開了漏洞提交方法。而且，直到2016年11月，美國國防部才制定並公開了自己的漏洞提交政策。政策中詳細描述了漏洞提交步驟以及安全專家會在何時得到回復。那麼對於普通的企業來說，你們是不是也應該有自己的漏洞提交以及漏洞處理政策呢？

及時聯繫，及時處理

大多數安全專家在發現漏洞之後，第一件事就是通知相關組織。但是如何才能獲取到聯繫方式呢？Hunt認為：「我希望每一個網站都能寫上管理員的聯繫方式，如果我想與他們交流安全問題的話，這也許是最快的方法。」

在了解到安全問題之後，你也需要用正確的方法來解決這些問題，這也就意味著你必須提前部署好安全響應機制。每一家公司在解決了一個安全問題之後，都應該發表一份聲明來描述自己系統中的漏洞，並告訴大家他們是如何解決這個問題的。你腦袋裡應該十分清楚整個漏洞處理流程，例如如何回復漏洞提交人員、如何修復安全漏洞、以及如何披露漏洞信息等等。

安全公司Tripwire的產品副總裁Dwayne Melancon認為：

「企業不僅需要制定漏洞處理方案，而且還要專門開設一個「郵箱」之類的東西來處理安全人員提交上來的漏洞報告。除此之外，企業還要對這些漏洞報告進行歸檔和記錄。你需要對這些安全報告進行分類，你需要了解這些安全問題是否真實存在，它們到底有多嚴重，以及它們會給企業帶來怎樣的影響等等。

如果這個漏洞是一個高危漏洞，並且會嚴重企業業務的正常運作，那麼這個漏洞就得是你的安全技術人員需要優先處理的問題。相反，如果只是密碼政策的問題，那麼就應該由客服來與客戶直接溝通，而不需要專業的安全技術人員來處理了。雖然密碼問題聽起來沒有安全漏洞那麼嚴重，但企業仍然要重視這方面的問題，而正確處理密碼問題的前提就是企業必須擁有良好的安全基礎。」

不要忽略任何一個「小」問題，某些嚴重漏洞都是由各種各樣的小問題造成的。所以在實現安全策略的時候，一定要對安全防禦機制中的任何一個部分進行深入地檢查，這對企業來說絕對是有百利而無一害的。

除此之外，企業也應該重視社交媒體所帶來的負面效應。有的用戶可能會在Twitter或者Facebook上吐槽一些東西，而你最不願看到的就是用戶在社交媒體上公開討論你企業系統中的安全問題。

培養企業的安全文化

首先，當你聽到有人說你的系統中存在安全漏洞時，請不要產生敵對心理。也許當你一開始聽到這個消息時你會覺得很尷尬，但你至少要給這些敢於跟你討論安全問題的人起碼的尊重和感激。這些人是帶著善意來幫助你的，如果安全漏洞落入了壞人之手，你可以想像一下你的企業會經歷怎樣的災難。

除了你的安全團隊之外，你的工程師團隊同樣要有這種意識。因為一般來說，負責修復這些安全漏洞的人是你公司的IT工程師，而基本上漏洞信息也會在第一時間報告給他們，所以企業安全文化對於安全團隊和技術團隊來說都是很重要的。如果你的技術人員一看到安全部門的人過來敲門，心裡就想「這些傢伙一來准沒好事」的話，那麼你的企業安全文化就有大問題了。

實際上，處理漏洞報告的流程應該成為你設計、部署、以及測試系統的一個環節。你的系統何時被啟動，何時被更新，團隊的所有人都應該十分清楚。尤其是工程師團隊、產品團隊、法律團隊和客服團隊，當有人提交漏洞報告的時候，團隊中的每一個人都不應該對此表示驚訝。

簡而言之，所得的企業安全文化就是讓公司里的每一個人都認為安全是最重要的東西，而修復外部人員提交的安全漏洞是他們所有工作中的重中之重，應該得到優先處理。優秀的企業安全文化可以更好地幫助你去處理嚴重的安全漏洞，企業內部團隊之間的溝通和交流將會更加順暢，團隊間的工作也會結合得更加緊密。

可能很少人知道漏洞披露和漏洞處理流程也有其相應的ISO標準，如果你正在尋找一種常規的漏洞報告處理方案，你不妨考慮一下它們【點擊閱讀原文查看下載地址】。如果你想知道你的企業是否能夠有效處理漏洞報告的話，你可以在這個漏洞協調成熟度模型【點擊閱讀原文查看】中找到答案。

* 參考來源：networkworld， FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM