警惕！关于漏洞的三个“致命”误区！

• 关键词：摩莎,工业网络安全
• 摘要：​近日，《2020 年上半年工业互联网安全态势报告》重磅发布，其指出，2020 年上半年，我国工业互联网安全态势整体平稳，但恶意网络行为持续活跃，对工业控制系统及设备的攻击持续增多、受攻击的行业范围广，工业互联网安全形势严峻。在“网络安全人人有责”的今天，很多人对于网络安全的认知依旧存在一定的误区， Moxa 作为工业互联网领域的专家，今天就“好为人师”一次，化身 Dr.M ，针对一些工业网络安全的常见误区和大家好好聊聊“漏洞”。

近日，《2020 年上半年工业互联网安全态势报告》重磅发布，其指出，2020 年上半年，我国工业互联网安全态势整体平稳，但恶意网络行为持续活跃，对工业控制系统及设备的攻击持续增多、受攻击的行业范围广，工业互联网安全形势严峻。在“网络安全人人有责”的今天，很多人对于网络安全的认知依旧存在一定的误区， Moxa 作为工业互联网领域的专家，今天就“好为人师”一次，化身 Dr.M ，针对一些工业网络安全的常见误区和大家好好聊聊“漏洞”。

你真的了解漏洞吗？

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而使攻击者能够在未授权的情况下访问或破坏系统。

▎误区1：我需理会漏洞吗？

❌ 未造成影响的漏洞不必理会。

✔️  漏洞是重要安全隐患，一定要重视。

因为恶意攻击程序根本上都是利用漏洞入侵的，作为缺陷的【漏洞】其实存在很大的潜在风险。特别是对于工业企业来说，如果高危漏洞修复不及时，被恶意入侵，很有可能造成设备卡顿故障、内部设计图纸等信息泄漏，严重的情况下甚至会被恶意操控，造成设备设施损毁等更加严重的【物理伤害】。

▎误区2：公布漏洞危险吗？

❌ 漏洞公布平台 = “315” 曝光平台

✔️  漏洞平台与厂商合作一起公布漏洞，共同目标是推进网络安全的发展和进步，营造安全的网络环境。

发现和公布漏洞的过程中，漏洞揭露平台并非是卧底“黑心商家”的记者，而是和厂商一起合作、发现、曝光漏洞问题的“哨兵”。首先，所有相关人员的共识是：设备漏洞是无法避免的；其次，漏洞会通过许多专业人员和机构去检测和发现。一般情况下发现漏洞后，漏洞公布平台和设备厂商的合作常规流程如下：

平台收到上报的漏洞问题 ➡ 统一汇总漏洞与相关厂商沟通➡ 厂商自查并给出修复时间 ➡ 平台公布漏洞信息。

从这一流程中我们可以看到，除非厂商拒绝做漏洞修复，不然整个漏洞公布的流程非常需要漏洞平台和厂商开放和紧密合作。此前有用户从某平台发布的报告中看到 Moxa 一款交换机漏洞问题，并对此提出了质疑。其实该报告中的漏洞公布，是由 Moxa 主动上报，并早已及时修复了，平台公布的目的就是提醒还未注意到这个漏洞的用户也要及时修复。由此可知许多用户对于漏洞信息共享平台的认识存在误解。事实上，平台公布的问题多数都是已经解决或正在解决当中的。大家能够以开发和正向发展的眼光去看待漏洞。

▎误区3：漏洞代表产品不可靠？

❌ 大厂设备有漏洞=产品部不够谨慎

✔️  漏洞是无法完全被避免的，区别只是你是否发现，和是否做了修复。

我们先来讨论：为什么会出现漏洞？漏洞发生的原因诸多。首先需明确的是，漏洞具有时间属性；因为漏洞利用的技术本身也在演进和迭代，当下没有漏洞的设备，经过一段时间后检测，也许就会被发现新的漏洞。其次，很多程序往往是基于一些基础程序进行开发的，底层环节产生漏洞，自然会出现“连坐效应”。最后是更新迭代过程中出现的新缺陷，这一类漏洞往往会伴随系统的更新、二次开发等过程出现，新功能引入，旧程序就很容易显现出不足。日常我们会比较多的看到大厂的设备曝光漏洞，其主要原因是通常大厂的设备会受到全球各地安全人员和机构的关注，进而进行测试和漏洞挖掘。

发现漏洞后，大厂通常会有专门的机制和人员进行漏洞修复。唯有透过这样正向循环的流程，大厂设备的安全健壮性才会不断的提升。如同我们手机或电脑时常会收到安全补丁，这并不代表设备不安全，而是在更新补丁后反而觉得更安心。

发现漏洞怎么办？

聊完漏洞认知的误区，那么问题来了：遇到漏洞该怎么办？在这里 Moxa 给大家几个建议：

▎建议 1：漏洞的自查和修复

► 多关注、定期查验

大家可以多关注应用设备或系统的漏洞信息，同时也要定期查验扫漏，以便及时发现漏洞。

► 查官网、找权威

对于发现的漏洞问题，第一时间到官网查看是否已有修复补丁，可以直接自行下载修复。如果未发现修复方案，及时联系厂商解决。尽量通过权威专业机构解决漏洞问题，不可“病急乱投医”，以免造成更多问题。

► 分级别、早解决

学会区分漏洞的安全级别，对于中高危的漏洞要及时解决，中低危的可以根据生产情况酌情滞后修复。再次提醒大家：漏洞=安全隐患，无论何种级别都一定要根据自身情况尽早修复。

▎建议 2：设备及品牌的选择

►“知己知彼百战不殆”

网络设备及产品等在开发上要有相关程序，遵循一定的工业安全标准，其对于不同厂商、不同产品阶段等等均有详细规范要求的说明。因此选购产品设备时最好提前了解相关信息，根据既定规范和定义进行对比后再做出选择比较稳妥。如: IEC 62443-4-1标准，它是规范了工业设备厂商如何从产品开发阶段就把产品信息安全健壮性纳入设计和生产环节的标准。

►“态度决定一切”

在品牌选择方面，首先要看的就是厂商对于安全问题的态度：

1) 是否有专门团队解决相关问题？

2) 是否有专门的平台公布相关信息？

3) 安全升级是否和系统升级同步？

Moxa 十分注重视安全问题，官网配有漏洞查询和上报的位置，同时也有专门团队及时响应处理相关问题。因此，建议大家在品牌方面尽量选择拥有一定用户基础的主流厂牌，这些品牌往往受到更多关注，能够较早发现漏洞问题。正如前面所说，漏洞无法完全被避免的，因此尽早发现总比没人发现要安全得多。