隋剛認為這與信息係統的構成復雜度有關，在整個軟硬件供應鏈中每一個環節都可能會暴露齣威脅，所以建立安全能力，包括工具、防禦産品、服務在內的應對方法，則需要第三方專業網絡安全廠商來提供。

隋剛指齣，企業應該評估保障在綫業務持續運營的重要性，和受到攻擊之後的損失，以便進一步評估劃撥充足預算來建設相應安全能力的必要性。

“仍然以最有效的漏洞攻擊為例，如利用威脅情報等安全服務提前獲悉相關威脅，再通過安全産品對資産隨時進行摸清排查，隨後進行全麵的修復加固，就是一種有效的應對方案。” 隋剛說。

在綫業務必須保障連續性 硬性的防護産品必不可少

仍然以漏洞攻擊為例，安全419觀察發現，來自上遊供應鏈已經開始嘗試使用新的方法，來緩解用戶遲遲不更新安全補丁的這一傳統“陋習”，比如在全球擁有大量企業用戶的 WordPress 最近就通過強製安裝更新來解決最近被發現的一個高危漏洞。

隋剛則認為，WordPress 這一行為所對應的目的值得鼓勵，但行為本身需要進一步觀察。

他指齣，一方麵漏洞需要及時修復，但也要考慮用戶業務係統部署的實際場景，以企業的關鍵業務以及服務大眾的關鍵基礎設施為例，必須保障在綫業務的連續性，是不允許中斷服務的，這也是一些特殊行業在漏洞修復時所麵對的睏境之一；另一方麵，這種強行更新的推送機製本身也存在安全風險，如果黑客從中找到可利用的方式，入侵將更為直接。

“所以選擇權還是放在用戶手中比較好，係統中任何一項改動都需謹慎處理，所以硬性的網絡安全防護産品在解決企業全方位網絡安全問題當中仍然必不可少。”隋剛進一步錶示稱，以保障在綫業務持續運行的知道創宇雲防護服務為例，用戶一側實際上就不必再為漏洞攻擊所擾。

這也是雲防禦的高價值所在，它在為企業在綫業務提供保障的技術手段全部前置到雲端，用戶一則就可以有充裕的時間規劃來安排解決繁雜的係統漏洞等方麵的安全性更新問題。

法律明確規定漏洞補救辦法 安全廠商可以做的更多

我國的《網絡安全法》規定，“網絡産品、服務的提供者發現其網絡産品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶並嚮有關主管部門報告。”；“網絡産品、服務的提供者應當為其産品、服務持續提供安全維護；在規定或者當事人約定的期限內，不得終止提供安全維護。”

《網絡安全法》還對企業一側做齣規定，提齣“網絡運營者應當製定網絡安全事件應急預案，及時處置係統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險”；“在發生危害網絡安全的事件時，立即啓動應急預案，采取相應的補救措施，並按照規定嚮有關主管部門報告。”

這就意味著，來自於漏洞攻擊的安全處置機製已有上位法作齣瞭明確規定，産品供應商需及時對漏洞采取補救措施，如發布安全補丁，企業一方則需要及時作齣響應，以預案形式來有效應對相應風險。具體解讀，包括對漏洞及時修復，以及防禦能力的建設等。

美國網絡安全和基礎設施安全局（CISA）在年初發布的一份報告就披露，一份已知被利用漏洞列錶當包含15個漏洞，其中隻有4個是最新漏洞，屬於 0day 漏洞範疇，剩餘的11個漏洞均可追溯更遠的曆史，而且他們都有屬於各自的 CVE 編號。這也意味著，相關廠商均為其提供過安全修復工作，而企業和組織在漏洞修復上則行動緩慢。

另據安全419此前采訪多傢安全企業瞭解獲悉，國內同樣存在這一現象，企業一側的漏洞修復滯後廣泛存在。

那麼在法律要求的閉環應對措施當中，現狀是仍然會留有大量安全威脅，最大的問題會齣在哪呢？其實就是企業一方如何及時獲悉風險的發生。並不是所有的漏洞都像阿帕奇 Log4j2 那般轟動，幾乎所有的企業都在加班加點地忙著修復，事實上大量的安全漏洞並不被企業所獲悉，這纔導緻攻擊一方的漏洞利用仍然更為有效。

隋剛進一步錶示，原本安全廠商可以為企業做得更多，知道創宇404實驗室此前根據他們開發維護的兩款産品 ZoomEye 網絡空間搜索引擎以及 Seebug 漏洞社區的能力，會經常對外發布相關的最新漏洞研究報告，用於為企業提供預警修復。現在齣於政策監管方麵的原因，相關能力已經被收緊限製。

寫在最後：基於漏洞開展攻擊隻增不減

當全球網絡犯罪將目光瞄嚮以勒索攻擊為主要的最終攻擊形式之時，這種更具目的性（贖金）的攻擊也會使網絡安全威脅逐漸放大。而漏洞利用則是突破企業網絡最有效的攻擊方式，在威脅麵更廣泛的勒索軟件即服務模式下，大量的已有漏洞利用就已被添加到可以被無技術背景攻擊者使用的便捷工具當中。

這也意味著，未來黑客組織基於漏洞開始攻擊隻會增不會減，企業務必要采取有效措施積極應對。