江西南昌网信办依据《数据安全法》对一公司处以50万罚款的思考湖南网安适用《数据安全法》对多个单位作出行政处罚中华人民共和国数据安全法原作者：米歇尔格林利一种主动的网络安全方法包括确保所有软件在资产中都是最新的。这还包括应用补丁来关闭漏洞。这种做法最大限度地降低了风险，因为它消除了过程中的过时软件版本。这是否使修补成为包罗万象的网络安全解决方案？虽然补丁是网络安全的重要组成部分，但其他安全解决方案和策略必须对其进行补充。其中包括防火墙、防病毒软件和员工安全风险意识培训。有趣的是，最新的 X-Force 威胁情报指数报告称，2022 年的漏洞中有 26% 已被利用。从 1990 年代初期到现在跟踪的数据显示，近年来已知漏洞利用的比例有所下降，突显了维护良好的补丁管理流程的有效性。漏洞管理和补丁管理的区别成功的补丁管理始于识别漏洞。这看起来像是潜在妥协的浪潮，因为它们几乎存在于每一个软件中。2022 年，美国国家标准技术研究院 (NIST) 报告了超过23,000 个 新漏洞；在这个数字中，将超过 17,000 个归类为关键。安全团队不能总是在发现漏洞后立即解决。因此，许多组织都积压了大量未修复的漏洞。缓慢的响应意味着漏洞将持续存在并使组织容易受到攻击。解决漏洞管理很重要，也是可能的。但是，仅仅识别漏洞是不够的，组织还必须采取措施防范它们。补丁管理是漏洞管理的一个组成部分，它为组织提供了一种自动化的方法来应用供应商发布的软件补丁来解决安全漏洞。自动化补丁管理工具可以显示可用补丁，但不一定映射已知漏洞的严重性。补丁管理还需要定义策略和程序来识别关键漏洞，以及应用安全补丁的定期计划。软件行业安全补丁改进近年来，在发布安全漏洞补丁方面，软件行业取得了重大进展。较大的公司必须更加主动地识别和解决其产品中的漏洞。这些公司拥有各种资源，包括正式的漏洞赏金计划，可用于帮助加快安全补丁的开发。流程效率和创新帮助他们更快地做出响应。负责将这些安全补丁应用到他们的系统的客户并不总是能快速响应。修复严重漏洞平均需要60 天，比攻击者开始利用新发现的漏洞所需的时间（通常为 15 天）要长得多。攻击者倾向于利用发现和补救之间的差距。由于并非所有漏洞都很严重，因此根据潜在影响确定其优先级很重要。安全团队可以专注于首先修补最严重的漏洞，从而降低整体风险。漏洞发现、排序和修复的循环是永无止境的。一些自动化补丁管理工具包括补丁分析，可以缩短确保根据漏洞严重程度及时应用补丁所需的总体时间。解决软件和设备报废问题了解所有资产的状态是风险管理的一个重要方面。漏洞可能隐藏在旧资产中，增加了环境的安全风险。有时可能无法再对软件和设备进行修补。它们可能已经达到生命周期的尽头，不再受到供应商的支持，或者根本无法适应现代网络和安全协议。攻击者经常利用旧的、过时的软件中的漏洞。正如 2023 X-Force 威胁情报指数中所报告的那样，三到五年前的勒索软件感染仍然存在于一些未打补丁的旧设备中。这些机器在初次感染后很长一段时间内仍未得到解决。根据软件供应商的不同，有一些选项可用于保护已达到生命周期终点的软件。一些供应商可能会提供延长保修或类似的东西，在软件达到使用寿命后，软件更新和安全补丁可以在特定时间段内继续使用。当然，这不是长久之计。但它可以给公司多一点时间来探索其他可用的选择。无法再更新的未打补丁的资产会给组织带来额外的风险。评估与其持续使用相关的长期风险非常重要。NIST 建议定期审查这些资产，以确保系统其余部分的完整性。如果更换还不是一种选择，将这些未打补丁的资产与网络的其余部分进行分段或微分段可以提供一些保护，防止潜在的危害。当缓解方法不能充分解决未修补资产的风险时，更换可能是唯一可用的其他选择。定期检查持续缓解与完全替换受影响资产的成本效益分析非常重要。漏洞和补丁管理的未来补丁已成为网络安全必不可少的。作为综合漏洞和补丁管理流程的一部分，成功的补丁管理会减少可利用的漏洞。随着 CISA 发布利益相关者特定漏洞分类 (SSVC)系统，漏洞管理有望变得更易于管理，该系统输出机器可读的报告，详细说明漏洞和严重性，有助于缩短补救时间。这种新的标准化方法可帮助组织关注最严重的漏洞。该系统在设计时考虑了自动化工具。最近以网络安全为重点的立法也将改变组织处理漏洞和补丁管理的方式。美国发布的第 14028 号行政命令“改善国家网络安全”包括对软件材料清单 (SBOM) 的要求，其中必须披露有关产品各部分来源的特定信息。旨在提供有关依赖性和已知漏洞的更大透明度以保护软件供应链，此要求在政府软件合同之外可能会有所帮助。一个完整的 SBOM 可以帮助组织确定软件组件所需的长期维护，该软件组件需要随着时间的推移进行大量补救，或者考虑到存在的漏洞类型，特别容易受到攻击。软件漏洞不会很快消失，保护它们的补丁也不会消失。补丁管理仍将是网络安全的重要组成部分。漏洞管理的未来改进和 SBOM 中更透明的披露——结合软件行业通过正式的漏洞赏金计划和其他创新的改进——有可能显着减少修复易受攻击软件所需的时间。>>>等级保护<<<开启等级保护之路：GB 17859网络安全等级保护上位标准网络安全等级保护：什么是等级保护？网络安全等级保护：等级保护工作从定级到备案网络安全等级保护：等级测评中的渗透测试应该如何做网络安全等级保护：等级保护测评过程及各方责任网络安全等级保护：政务计算机终端核心配置规范思维导图网络安全等级保护：信息技术服务过程一般要求网络安全等级保护：浅谈物理位置选择测评项闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载闲话等级保护：什么是网络安全等级保护工作的内涵？闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求闲话等级保护：测评师能力要求思维导图闲话等级保护：应急响应计划规范思维导图闲话等级保护：浅谈应急响应与保障闲话等级保护：如何做好网络总体安全规划闲话等级保护：如何做好网络安全设计与实施闲话等级保护：要做好网络安全运行与维护闲话等级保护：人员离岗管理的参考实践信息安全服务与信息系统生命周期的对应关系>>>工控安全<<<工业控制系统安全：信息安全防护指南工业控制系统安全：工控系统信息安全分级规范思维导图工业控制系统安全：DCS防护要求思维导图工业控制系统安全：DCS管理要求思维导图工业控制系统安全：DCS评估指南思维导图工业控制安全：工业控制系统风险评估实施指南思维导图工业控制系统安全：安全检查指南思维导图（内附下载链接）业控制系统安全：DCS风险与脆弱性检测要求思维导图>>>数据安全<<<数据治理和数据安全数据安全风险评估清单成功执行数据安全风险评估的3个步骤美国关键信息基础设施数据泄露的成本备份：网络和数据安全的最后一道防线数据安全：数据安全能力成熟度模型数据安全知识：什么是数据保护以及数据保护为何重要？信息安全技术：健康医疗数据安全指南思维导图金融数据安全：数据安全分级指南思维导图金融数据安全：数据生命周期安全规范思维导图>>>供应链安全<<<美国政府为客户发布软件供应链安全指南OpenSSF 采用微软内置的供应链安全框架供应链安全指南：了解组织为何应关注供应链网络安全供应链安全指南：确定组织中的关键参与者和评估风险供应链安全指南：了解关心的内容并确定其优先级供应链安全指南：为方法创建关键组件供应链安全指南：将方法整合到现有供应商合同中供应链安全指南：将方法应用于新的供应商关系供应链安全指南：建立基础，持续改进。思维导图：ICT供应链安全风险管理指南思维导图英国的供应链网络安全评估>>>其他<<<网络安全十大安全漏洞网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图网络安全等级保护：应急响应计划规范思维导图安全从组织内部人员开始VMware 发布9.8分高危漏洞补丁影响2022 年网络安全的五个故事2023年的4大网络风险以及如何应对网络安全知识：物流业的网络安全网络安全知识：什么是AAA（认证、授权和记账）？美国白宫发布国家网络安全战略开源代码带来的 10 大安全和运营风险不能放松警惕的勒索软件攻击10种防网络钓鱼攻击的方法5年后的IT职业可能会是什么样子？累不死的IT加班人：网络安全倦怠可以预防吗？网络风险评估是什么以及为什么需要美国关于乌克兰战争计划的秘密文件泄露五角大楼调查乌克兰绝密文件泄露事件湖南网安适用《数据安全法》对多个单位作出行政处罚如何减少制造攻击面的暴露来自不安全的经济、网络犯罪和内部威胁三重威胁2023 年OWASP Top 10 API 安全风险全国网络安全等级测评与检测评估机构目录（6月6日更新）