如何防止黑客从“漏洞”偷走你的年终奖 | 年末

世界上最悲伤的事情，不是我站在你面前，你不知道我爱你，而是我把钱存在银行里，把钱从银行卡投资到某互联网金融App，或者只是小有盈余，为了发家致富，把钱投到证券、基金、期货……中，却被一些无良黑客从各种“漏洞”中悄悄偷走，没有一丝丝防备。

这并不是危言耸听。

一个急需重视的案例就是——快到年底了，不少互联网金融平台正面临兑付高峰期，全球黑客正虎视眈眈，连警察蜀黍——公安部网络安全保卫局研发中心主任许剑卓都在某年会上给大家敲小黑板要加强互联网金融系统安全防护啊!

言下之意是不做好安全，被黑客盗了你都没地儿哭!

警察蜀黍的提醒不无道理，现实在“啪啪啪”地打着各类互联网金融App的脸

今年8月，包含移动互联网系统与应用安全国家工程实验室专家在内的一个研究团队对互联网金融安全平台“网贷之家”中2015年发展指数前100名的互联网金融公司旗下的Android移动应用进行信息安全评估，并对样本中的88个互联网金融类移动应用App进行了深入测试，发现了十大隐患信息数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。

研究人员还补刀称“在我们测试过程中发现，有些在移动市场比较知名的互联网金融APP甚至存在着很低级的漏洞，其中一家还是上市公司。”

再上来把伤口撕得血淋淋给你看的是安华金和数据库攻防实验室，他们在2015年9月-11月曾经统计了乌云漏洞平台上的金融业漏洞数量，很不幸地告诉你互联网金融的漏洞在其中只占23%，银行、保险、金融机构分了剩下的“百分比”。

不要问为什么今年的数据还没出来，这是一个有关乌云网的悲伤的故事，自己去搜吧。

其实，大部分企业都很重视漏洞管理，受限于自身的资源(没钱)和技术能力(没人)，漏洞管理往往“悲剧”

1. 漏洞、配置缺陷、代码和业务逻辑缺陷等脆弱性问题被单独处置，分别有着各自的处理标准和流程，无统一的原则和标准，说白了，就是派出一伙士兵去打仗，这群人却成了散兵游勇，你倒是列阵啊!

2. 漏洞信息不精确，和企业实际情况难以结合，无法确定漏洞实际风险等级和影响，导致难以完成闭环的漏洞管理，意思是，前面来的是机枪大炮还是小手枪，摸不清楚风向。

3. 漏洞管理经验未进行积累，安全运维能力提升举步维艰，别说了，一个漏洞都搞不定，怎么在一群黑客来临时提枪上阵。

真正的漏洞管理流程是这样的

打过大怪、战过小怪的资深安全企业绿盟科技在金融行业安全服务实践中发现一些问题，此处又要划重点，各种金融企业来认领下，是不是这样

现有的漏洞预警、漏洞发现、漏洞修复、漏洞确认的闭环管理操作已难以实现企业对脆弱性管理的要求。

对待这些问题怎么办?双重福利!绿盟科技打算以教你谈恋爱的方式来告诉你怎么进行漏洞管理。

绿盟科技认为，应该要利用威胁情报信息，深度解读漏洞利用细节、利用热度、利用难度等技术细节，为企业安全运维人员提供详实的漏洞细节，便于他们结合企业实际情况分析漏洞影响，为漏洞修复提供决策依据，有利于真正实现漏洞管理的闭环操作。

通俗地说，就是要在对漏洞比对女朋友还了解的基础上，才能知道怎么修复和管理。没有对比，就没有伤害。

一个生动的案例是——

女朋友我肚子好痛!

你宝宝，来，要不要喝点热水?

……分手

女朋友我肚子好痛!

你看了看日历，确认不是女朋友的生理期，又回想了下，今天好像没带她去重口味的菜，然后摸了摸她的额头，也没有发烧。怜爱地给她倒了杯热水，然后温情地安慰了几句，叫了车，准备带她去附近的医院。

……你们幸福地生活在一起。

不仅如此，绿盟科技还建议，要改变传统的以IP信息为视角的资产管理方法，从安全的角度重新审视资产信息，从资产的业务功能、服务对象、版本信息、安全防范措施等方面建立安全资产信息，从安全的角度管理资产脆弱性。

也就是说，你对待女朋友，不要光以女朋友的视角来对待她，有时要把她当作你的女儿一样怜爱，有时又要像对待领导一样顺从。

当出现安全漏洞时，不仅需要考虑漏洞的风险等级，还需要结合资产安全信息，不同资产相同漏洞区别对待，体现业务对漏洞的差异性，真正实现差异化漏洞管理策略。打个比方，就是你在搞定女朋友时，要知道怎么差异化地讨好她的闺蜜和她的爸妈。