安全團(tuán)隊(duì)每天都會被越來越多的漏洞所淹沒，但通過改變漏洞的優(yōu)先級，可以極大地減少修補(bǔ)工作量。

大多數(shù)企業(yè)都會關(guān)注通用漏洞評分系統(tǒng)(CVSS)框架中對缺陷的評分，評分范圍從0到10，并根據(jù)漏洞的特點(diǎn)，分為低、中、高和極危。一般而言，企業(yè)會從被視為“極?！钡穆┒撮_始補(bǔ)救工作，然后再高中低逐級往下解決。

但現(xiàn)實(shí)情況是，對于許多企業(yè)來說，大多數(shù)漏洞都不會對它們構(gòu)成威脅。安全公司Rezilion在5月發(fā)布的一項(xiàng)研究報告顯示，組織中約85%的漏洞并沒有加載到內(nèi)存，也就意味著不能夠真正被利用。（Rezilion成立于2018年，專注方向?yàn)樽詣踊墓裘婀芾恚?/p>

在這項(xiàng)研究中，Rezilion的研究人員檢查了Docker Hub上20種流行的容器鏡像，這些鏡像總共被下載和部署了數(shù)十億次，包括MariaDB、WordPress、Memcached、MongoDB、Nginx和MySQL。此外，他們還研究了來自AWS、Azure和GCP的基本操作系統(tǒng)鏡像，以確定有多少漏洞不適用，又有哪些漏洞構(gòu)成了實(shí)際風(fēng)險。

在Rezilion研究人員分析的21種容器鏡像中，有4347多個已知漏洞，但經(jīng)測試后發(fā)現(xiàn)，只有平均15%的CVE漏洞曾加載到內(nèi)存中并構(gòu)成威脅。研究人員還在分析的12個基本操作系統(tǒng)鏡像中發(fā)現(xiàn)了6167個已知漏洞，其中約有20%加載到內(nèi)存中。

因此報告得出結(jié)論，容器和主機(jī)中發(fā)現(xiàn)的所有漏洞，有85%從未加載到內(nèi)存，因此不可利用。如果使用傳統(tǒng)的漏洞管理方法，人們將花費(fèi)85%以上的時間和精力來修補(bǔ)對環(huán)境沒有實(shí)際風(fēng)險的漏洞。

不僅如此，在實(shí)際的漏洞修補(bǔ)工作中，許多補(bǔ)丁是手動打上的，更為糟糕的是，有些漏洞的性質(zhì)很難快速進(jìn)入修補(bǔ)流程，時間長的可能需要幾個月，往往還需要系統(tǒng)停機(jī)。

一方面，組織在處理漏洞和補(bǔ)丁管理方面的資源和能力十分有限。另一方面漏洞發(fā)現(xiàn)和披露的數(shù)量逐年增加。因?yàn)橹灰藗兙帉懘a，漏洞就會出現(xiàn)，修補(bǔ)工作就跟不上。因此，一個看上去比較合理化的建議是，首先處理實(shí)際加載到內(nèi)存中的漏洞，如果再有額外的時間或資源再處理其他的漏洞。因?yàn)橹挥羞@些能夠進(jìn)入到內(nèi)存中的漏洞，才是真正重要的，真正構(gòu)成威脅的漏洞。

但問題是，那些從未加載到內(nèi)存的漏洞真得沒有風(fēng)險嗎？誰能保證這些漏洞以后不會加載到內(nèi)存？理論上而言，存在漏洞的軟件，即使沒有運(yùn)行，仍然存在風(fēng)險。因此，一個非常有效且簡便易行的方法就是，刪除那些執(zhí)行指定任務(wù)時系統(tǒng)不需要的軟件。

方法論有了，但最大的問題在于，現(xiàn)實(shí)中的大多數(shù)組織缺乏對其所有信息資產(chǎn)的了解，也不知道哪些軟件程序的哪些部分會加載到內(nèi)存中。所以，一切又回到了對企業(yè)資產(chǎn)環(huán)境的充分了解上。

?不清楚保護(hù)對象，何談保護(hù)？

不管怎樣，組織面臨的風(fēng)險永遠(yuǎn)存在，修補(bǔ)能力也永遠(yuǎn)趕不上漏洞的增長?；貧w到最佳實(shí)踐上，那就是合理利用現(xiàn)有的資源、工具和預(yù)算，將工作重點(diǎn)放在與自身更相關(guān)的漏洞上。?