别人先发现了你们公司的安全漏洞，你该怎么办？

导语
用户在第一时间接到的关于信息泄露和重大威胁的通知可能会是由外部机构提供的。因此用户只有做好相应的准备工作，才能高效快捷地响应这些由外部提供的安全情报。

文章图片
在安全研究员、执法机构或业务合作伙伴等外部机构提醒系统存在被入侵或被破坏的危险之前，组织机构，尤其是大企业通常都不会察觉到这些危险。随着攻击方法的不断扩散，开源组件的使用日益增多，以及云服务的大量采用，许多企业面临的攻击面也在不断地扩大。令人尴尬的是，企业自己的安全团队已经变得越来越难以发现这些漏洞。例如，入侵者已经攻破了SolarWinds公司的系统并通过该公司的软件不断传播恶意软件，但是SolarWinds却一直没有察觉到，直到安全厂商FireEye向SolarWinds通报了相关漏洞， SolarWinds才如梦初醒。
许多企业的漏洞在长达数月的时间里都没能得到修复，根本原因在于企业的内部安全团队没有发现它们， SolarWinds案例只是其中的一个典型案例而已。因此，近年来，接收和响应由外部机构提供的安全情报（无论是漏洞通知还是新的重大威胁），对于企业来说正变得越来越重要。
负责为Coalfire公司的高层提供网络策略建议的JohnHellickson说：“任何提供网络产品或服务的企业都应建立起一套接收和响应机制，以便外部机构能够向其通报可能对其产品或服务产生影响的潜在问题。 ”
以下是企业有效建立起这种能力的六个技巧：
01
制定详细的漏洞报告制度
市场研究机构IDC负责安全研究的副总裁PeteLindstrom说，企业应当确保向所有有意向其报告安全或隐私问题的外部机构明确告知企业的漏洞报告制度，阐明企业期望外部机构以负责任的方式通报漏洞，并提供电子邮件地址、电话号码等外部机构可以向其通报安全或隐私问题的方式。
企业还应对外阐明其处理、调查和解决这些报告或信息的方式，并让第三方机构了解企业审查和解决问题的速度或时间，以便让他们知道自己提供的信息没有被忽视。此外，企业还应向第三方机构阐明企业的政策，如果通报的情况属实，企业将会给予奖励。如果情况不属实，那么企业也要明确地告知他们不会对其提供的情况给予奖励。
Lindstrom说：“管理好第三方的期望对企业的成功和声誉至关重要。因此，当第三方向企业提供安全或隐私问题时，准确地知道他们期望得到什么，对于企业来说很重要。 ”

文章图片
标准普尔全球市场情报公司（SPGlobalMarketIntelligence）信息安全研究主管ScottCrawford建议，企业应该利用ISO/IEC30111标准中的指南来指导漏洞处理工作。 Crawford指出，在处理第三方漏洞报告时，这些标准可为如何制定处置规则提供指导。
02
制定内部漏洞管理计划
Lindstrom称，不管企业是否希望从外部获得安全情报，都应在内部建立起应用程序安全和漏洞管理程序。对于企业来说，部署最佳实践（例如定期进行漏洞扫描，打上安全补丁等）非常重要，这样可以有效降低风险，先于外部机构发现各种漏洞。他说：“企业应积极地将部署最佳实践作为自身安全计划的一个重要组成部分。在考虑与外部研究人员合作之前，应在内部先形成合力。 ”
Hellickson也指出：“对于企业来说，针对不同的示例场景进行测试也是一种不错的做法，这样可以发现一些问题，并让执行团队和法律顾问参与其中。桌面演练也是安全意识教育一个重要手段。 ”