根據(jù)IBM的2019年數(shù)據(jù)泄露成本報(bào)告，美國(guó)數(shù)據(jù)泄露的平均成本為819萬美元。公司平均需要206天才能識(shí)別出泄露，嘗試解決這些問題則平均需要38天。

數(shù)據(jù)泄露對(duì)中小型企業(yè)的財(cái)務(wù)影響尤為嚴(yán)重。調(diào)研表明，員工人數(shù)少于 500 的企業(yè)，數(shù)據(jù)泄露的平均成本超過 250 萬美元，這對(duì)于年收入通常不超過 5,000 萬美元的小型企業(yè)而言無疑是沉重的損失。

按照工信部近期網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)，信息安全漏洞問題仍然是一大問題。5月4日－5月10日，新增信息安全漏洞數(shù)量715例，其中，高危漏洞331例，非高危漏洞384例。

網(wǎng)絡(luò)安全問題成為企業(yè)必須面對(duì)的問題，企業(yè)如何降低風(fēng)險(xiǎn)？漏洞管理的重要性不容忽視。

誤區(qū)1：定期掃描就足夠了

一個(gè)非常常見的誤解就是：做到定期漏洞掃描就可以了。

但是！每天一次完全不夠。每天各個(gè)時(shí)間段都會(huì)有新的應(yīng)用程序和終端連接到公司網(wǎng)絡(luò)中。變化時(shí)刻發(fā)生，這意味著網(wǎng)絡(luò)攻擊也隨時(shí)會(huì)出現(xiàn)，而黑客從開始到完全攻破只需要18分鐘。

公司不能每天掃描一次，即使他們每天都修復(fù)許多漏洞，但新漏洞出現(xiàn)的速度實(shí)在太快了。企業(yè)必須不斷掃描才能防護(hù)。

幸運(yùn)的是，新的漏洞管理解決方案可以在不影響網(wǎng)絡(luò)性能的情況下，使大規(guī)模掃描變得更快、更容易，因此，企業(yè)沒有充分的理由偷懶。

誤區(qū)2：漏洞=修補(bǔ)

許多人將漏洞等同于修補(bǔ)。實(shí)際上，漏洞管理可以更加詳細(xì)和復(fù)雜。例如，配置更改可以解決問題，但如果公司運(yùn)行的是舊軟件，則可能無法使用修補(bǔ)程序或配置更新。在這種情況下，團(tuán)隊(duì)需要進(jìn)行緩解控制，例如防火墻或路由更改，以防止某些類型的流量到達(dá)端口或應(yīng)用程序。有時(shí)候，緩解控制要比補(bǔ)丁更好。僅僅思考補(bǔ)丁是短視的，全面了解漏洞管理才能為組織提供更好的安全服務(wù)。

誤區(qū)3：修復(fù)嚴(yán)重漏洞就能確保安全

企業(yè)必須首先解決5級(jí)嚴(yán)重漏洞的這一觀點(diǎn)已經(jīng)過時(shí)。

在傳統(tǒng)邏輯中，一般認(rèn)為最嚴(yán)重的漏洞需要立即引起注意，但問題在于網(wǎng)絡(luò)犯罪分子已經(jīng)意識(shí)到了這種想法，于是他們反而開始攻擊處于中間級(jí)別的漏洞，這些漏洞沒有那么吸引企業(yè)安全人員的注意力，沒有被全天候地進(jìn)行加急補(bǔ)救，這使黑客有更長(zhǎng)的時(shí)間找出攻擊辦法，并且由于這些漏洞長(zhǎng)時(shí)間未被發(fā)現(xiàn)，最終會(huì)造成巨大的破壞。

在漏洞管理方面，公司需要調(diào)整戰(zhàn)略。要么需要采用新的考慮因素和排名系統(tǒng)來解決漏洞，要么應(yīng)該選擇雙管齊下的策略，利用自動(dòng)化的漏洞管理解決方案立即修復(fù)較低級(jí)別的漏洞，同時(shí)釋放團(tuán)隊(duì)成員來同時(shí)修復(fù)較高級(jí)別的漏洞。

誤解4：漏洞管理沒什么大不了的

這一觀點(diǎn)顯然缺乏對(duì)漏洞管理的重視。一般來自對(duì)自己的能力持某種傲慢態(tài)度的團(tuán)隊(duì)（一種“我的人可以手動(dòng)修復(fù)任何東西”的態(tài)度），還是那些認(rèn)為漏洞管理是一項(xiàng)低優(yōu)先級(jí)的后臺(tái)任務(wù)的團(tuán)隊(duì)，而其結(jié)果都是相同的：漏洞管理退居后位。

漏洞彈出得太快了，即使是最有才華，人員最齊全的團(tuán)隊(duì)也沒有能力應(yīng)對(duì)所有這些問題。將它們視為較低優(yōu)先級(jí)，或者由于時(shí)間或資源不足而讓漏洞管理陷入困境的這些行為都為網(wǎng)絡(luò)攻擊打開了大門，從長(zhǎng)遠(yuǎn)來看，最終使企業(yè)的工作成倍增加，更不用潛在地造成的經(jīng)濟(jì)損失。

一些擁有網(wǎng)絡(luò)保險(xiǎn)政策的公司可能會(huì)感到虛假的安全感。但實(shí)際上并不保險(xiǎn)。我們更鼓勵(lì)所有IT團(tuán)隊(duì)優(yōu)先考慮漏洞管理，拋棄其先入為主的觀念和認(rèn)知誤區(qū)。漏洞管理可能不是IT團(tuán)隊(duì)要處理的最艱巨的任務(wù)，但做好漏洞管理卻可能是防止嚴(yán)重惡意攻擊的最大因素。

好的漏洞管理，應(yīng)該怎么做漏洞掃描？

漏洞掃描是一種主動(dòng)的防范措施，可以有效避免黑客攻擊行為，防患于未然。通過對(duì)網(wǎng)絡(luò)的掃描，可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。

嚴(yán)格遵循漏洞掃描的流程：

1、確定掃描方案，按掃描要求配置漏洞掃描策略進(jìn)行。

2、對(duì)目標(biāo)對(duì)外開放的端口和服務(wù)進(jìn)行掃描。

3、對(duì)目標(biāo)的主機(jī)環(huán)境進(jìn)行安全掃描。

4、對(duì)目標(biāo)的Web系統(tǒng)進(jìn)行安全掃描。

5、對(duì)目標(biāo)的各種常用服務(wù)進(jìn)行弱密碼檢測(cè)。

6、清除產(chǎn)生的痕跡和中間數(shù)據(jù)，制定漏洞掃描服務(wù)報(bào)告。

漏洞掃描包括主機(jī)漏洞掃描，Web漏洞掃描，弱密碼掃描等。專業(yè)的安全工程師會(huì)對(duì)掃描結(jié)果進(jìn)行分析，并提供相應(yīng)的漏洞解決方案，方便管理員對(duì)主機(jī)和應(yīng)用的安全進(jìn)行檢查和分析，及時(shí)修復(fù)漏洞。