摘要：今年四月在安全领域出现了一个里程碑：第100,000个常见漏洞和暴露（CVE）已经到来。虽然人们已经在漏洞和暴露（CVE）已经达到了一个主要标志，但思科公司发现高影响漏洞的总数实际上在逐年下降。这意味着与三年前相比，现在可能会影响大量用户的高影响漏洞数量下降。

    今年四月在安全领域出现了一个里程碑：第100,000个常见漏洞和暴露（CVE）已经到来。虽然人们已经在漏洞和暴露（CVE）已经达到了一个主要标志，但思科公司发现高影响漏洞的总数实际上在逐年下降。这意味着与三年前相比，现在可能会影响大量用户的高影响漏洞数量下降。
　　
　　不幸的是，这个数字并不都是好消息。正如人们在过去一年中所看到的那样，通过假设大量企业无法或不能跟上补丁周期，不良行为者比以往更容易大规模利用所披露的漏洞。由于可以用于恶意目的的漏洞和工具的现成可用性使情况变得更糟。任何具有全球互联网连接的人都可以访问工具，例如渗透测试人员和视频，这些工具可以教人们如何根据恶意目的定制他们。想要了解漏洞利用信息的人数众多，这些信息已成为商品，因此快速编写高效漏洞从未如此简单。
　　
　　以Eterna lBlue公司为例。微软公司发布针对WindowsSMB服务器问题的修补程序后不久，Shadow Brokers公司在2017年4月发布了一个漏洞利用程序。一个月后，全世界遭到了WannaCry勒索软件的攻击，该软件将此攻击纳入其攻击。如果这还不够，那么今年6月NotPetya就会在世界上发布，它再次使用了相同的漏洞。每个人都看到了WannaCry和NotPetya的经济影响，这种武器化攻击的快速飞跃将可能的威胁转变为现实世界的快速攻击。如果他们应用了微软公司几个月前发布的补丁，数百万用户可以避免损害。
　　
　　鉴于这些威胁的加速成熟和部署，任何组织的第一道防线必须包括培养对其资产所在位置的充分理解以及快速、自动化的修补方式。然而，尽管人们越来越意识到针对他们的网络威胁，但很容易找到那些仍然没有采取这些步骤，并且没有实践有助于增强所需弹性的基本安全基础的组织。主动接受以下做法将有助于：
　　
　　•认真对待补丁。开发、实施并积极维护一个完整的系统，以便在整个网络和IT基础架构中采用补丁。一旦漏洞被公布，攻击者就会努力利用漏洞。而对于信誉良好的供应商来说，需定期尽快提供补丁。但如果不应用补丁，很快将会无效。
　　
　　•为此，企业需要识别网络上的所有内容。对其现有的硬件和软件进行以风险为中心的评估：根据哪些产品创建最有效的基本价值对产品进行排名，并根据产品的年龄，漏洞和网络弹性确定每种产品带来的风险程度。有了这些信息，企业就可以为内置弹性的更新技术投资开发优先级列表。
　　
　　•如果企业的业务线不允许准备好修补，例如某些医疗、工业甚至物联网应用程序，那么分段至关重要，实质上，企业需要围绕这些系统创建安全围栏。
　　
　　•许多人谈论但实际上并不实际操作的另一个领域是双因素身份验证。这一个简单的举动意味着在发生攻击之后，发现并警告恶意访问的对手。随着社交工程继续成为攻击者武器库中最有效的工具之一，双因素身份验证至关重要。
　　
　　•提高整个基础设施的可见性。可见性对于大型组织（遗留资产可能会持续多年）以及那些采用影子IT的情况尤为重要，因为第三方甚至第四方参与可能会大大增加风险层次。
　　
　　•制定大规模处理这些威胁的政策和程序。升级老化的基础设施和系统，快速修补并始终如一地备份数据。采用强大的密码管理来阻止横向移动和传播。
　　
　　有效管理风险需要加强部署的基础设施和系统的整体强度和弹性。去除例如不修补和保留过时的解决方案的坏习惯，而这些坏习惯可能使组织的整体弹性陷入危险并增加风险。采取良好的数字卫生，从基本原则出发，将降低风险。
　　
　　编辑：Harris