如何防止黑客从“漏洞”偷走你的年终奖 | 年末必看

世界上最悲伤的事情，不是我站在你面前，你不知道我爱你，而是我把钱存在银行里，把钱从银行卡投资到某互联网金融App，或者只是小有盈余，为了发家致富，把钱投到证券、基金、期货……中，却被一些无良黑客从各种“漏洞”中悄悄偷走，没有一丝丝防备。

这并不是危言耸听。

一个急需重视的案例就是——快到年底了，不少互联网金融平台正面临兑付高峰期，全球黑客正虎视眈眈，连警察蜀黍——公安部网络安全保卫局研发中心主任许剑卓都在某年会上再次给大家敲小黑板：要加强互联网金融系统安全防护啊!

言下之意是：不做好安全，被黑客盗了你都没地儿哭!

警察蜀黍的提醒不无道理，现实在“啪啪啪”地打着各类互联网金融App的脸：

今年8月，包含移动互联网系统与应用安全国家工程实验室专家在内的一个研究团队对互联网金融安全平台“网贷之家”中2015年发展指数前100名的互联网金融公司旗下的Android移动应用进行信息安全评估，并对样本中的88个互联网金融类移动应用App进行了深入测试，发现了十大隐患：信息数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。

研究人员还补刀称：“在我们测试过程中发现，有些在移动市场比较知名的互联网金融APP甚至存在着很低级的漏洞，其中一家还是上市公司。”

再上来把伤口撕得血淋淋给你看的是安华金和数据库攻防实验室，他们在2015年9月-11月曾经统计了乌云漏洞平台上的金融业漏洞数量，很不幸地告诉你：互联网金融的漏洞在其中只占23%，银行、保险、金融机构分了剩下的“百分比”。

不要问为什么今年的数据还没出来，这是一个有关乌云网的悲伤的故事，自己去搜吧。

其实，大部分企业都很重视漏洞管理，但是受限于自身的资源(没钱)和技术能力(没人)，漏洞管理往往“悲剧”：

1. 漏洞、配置缺陷、代码和业务逻辑缺陷等脆弱性问题被单独处置，分别有着各自的处理标准和流程，无统一的原则和标准，说白了，就是派出一伙士兵去打仗，这群人却成了散兵游勇，你倒是列阵啊!

2. 漏洞信息不精确，和企业实际情况难以结合，无法确定漏洞实际风险等级和影响，导致难以完成闭环的漏洞管理，意思是，前面来的是机枪大炮还是小手枪，摸不清楚风向。

3. 漏洞管理经验未进行积累，安全运维能力提升举步维艰，别说了，一个漏洞都搞不定，怎么在一群黑客来临时提枪上阵。

真正的漏洞管理流程是这样的：

打过大怪、战过小怪的资深安全企业绿盟科技在金融行业安全服务实践中发现一些问题，此处又要划重点，各种金融企业来认领下，是不是这样：

现有的漏洞预警、漏洞发现、漏洞修复、漏洞确认的闭环管理操作已难以实现企业对脆弱性管理的要求。

对待这些问题怎么办?双重福利!绿盟科技打算以教你谈恋爱的方式来告诉你怎么进行漏洞管理。

绿盟科技认为，应该要利用威胁情报信息，深度解读漏洞利用细节、利用热度、利用难度等技术细节，为企业安全运维人员提供详实的漏洞细节，便于他们结合企业实际情况分析漏洞影响，为漏洞修复提供决策依据，有利于真正实现漏洞管理的闭环操作。

通俗地说，就是要在对漏洞比对女朋友还了解的基础上，才能知道怎么修复和管理。没有对比，就没有伤害。

一个生动的案例是——

女朋友：我肚子好痛!

你：宝宝，来，要不要喝点热水?

……分手

女朋友：我肚子好痛!

你看了看日历，确认不是女朋友的生理期，又回想了下，今天好像没带她去重口味的菜，然后摸了摸她的额头，也没有发烧。怜爱地给她倒了杯热水，然后温情地安慰了几句，同时叫了车，准备带她去附近的医院。

……你们幸福地生活在一起。

不仅如此，绿盟科技还建议，要改变传统的以IP信息为视角的资产管理方法，从安全的角度重新审视资产信息，从资产的业务功能、服务对象、版本信息、安全防范措施等方面建立安全资产信息，从安全的角度管理资产脆弱性。

也就是说，你对待女朋友，不要光以女朋友的视角来对待她，有时要把她当作你的女儿一样怜爱，有时又要像对待领导一样顺从。

当出现安全漏洞时，不仅需要考虑漏洞的风险等级，还需要结合资产安全信息，不同资产相同漏洞区别对待，体现业务对漏洞的差异性，真正实现差异化漏洞管理策略。打个比方，就是你在搞定女朋友时，要知道怎么差异化地讨好她的闺蜜和她的爸妈。

另外，绿盟科技认为，由于系统和软件漏洞、配置缺陷、应用代码缺陷和业务逻辑缺陷等不同脆弱性问题的发现依赖不同的产品或服务实现，这些漏洞信息从格式、问题描述和风险等级标准都不统一，如果要实现这些问题的综合管理，需要一个平台实现上述问题的收集和处理，借助这个平台把威胁情报信息和专家判断作为输入要素之一，从资产的安全视角出发，实现漏洞的闭环和综合管理。

这意味着，你要找到女朋友身边最铁的一位朋友，随时给你传递各类关于她的信息，以便她闹脾气(无理取闹地抽风)时知道怎么哄她。

最后，将企业各种脆弱性问题的判断、修复过程、修复经验等整理成为脆弱性管理知识库，为企业安全配置基线、应用开发生命周期管理提供参考和依据，实现由威胁和脆弱性管理带动安全运维能力的全面提升。

到了这一步，你就可以通过和女朋友的长期交往，摸清她的脾气，发现到底适不适合，从而要不要升级成合法对象了，同时这也意味着你的恋爱经验不断升级，作为老司机的你，面对各种问题可以从容不迫了!