近日，堪称“核弹级”的log4shell漏洞引发了全球网安行业震荡，多国安全机构相继发出警告，众多企业连夜紧急修补漏洞。对企业而言，最担忧的是漏洞对其资产的威胁，由于目前一些企业体量庞大，空间资产分布在各处，对漏洞的排查和修复往往需要几天甚至几个月，响应效率似乎还存在较多的上升空间。

本期甲方群话题讨论就围绕企业漏洞应急相应相关问题展开讨论：

1.面对新漏洞的产生，企业如何让应急响应更便捷迅速？
2.对拥有庞大资产的企业而言，如何评估漏洞对其造成的影响，是否修复完漏洞就真正安全了？
3.应对此类突发性的安全事件，各类厂商都在第一时间推出了自检工具和防护工具。各位通常会如何选择相应的安全产品？又该如何辨别各类工具之间的差异呢？

（本文所有ID已做匿名处理）

1.面对新漏洞的产生，企业如何让应急响应更便捷迅速？

@孤鸿寄语

经过了这事，公司成立信息安全应急小组， 由我收集漏洞信息（各大网站，FREEBUF，微信群 公众号） 然后通过邮件和微信群发， 小组人员响应后分析和评估。

@黑色十九

其实，有自动化运维工具全盘find一下，能对付一下没打包的。

@律己秋

供应链的安全真是要从根本上重视了，反思是不是要开展一次开源组件的成分分析了。

@一只榴莲

最近这个bug出来之后，听到了太多的躺平~~

@超强的人

面对新漏洞，不能极度的恐慌，也不能散漫。漏洞披露后第一时间先同步给安全、运维、上级，一起评估漏洞影响后转研发。多个人评估影响比一个人评估靠谱。然后安全、运维利用平时的资产管理、依赖管理拉出受影响资产，拉专项响应群，转给研发并要求自查。评估最优修复方案后，同步研发修复，修复完安全复测。总之就是做到看到立即拉小组评估，评估影响后立即排查资产，评估修复方案后安排紧急修复，也没别的更快的方案了，除了拔网线。

@右相

首先需要具备及时获取漏洞情报的能力，其次需要有规范的应急响应流程和紧急变更流程，再次需要具备强大的资产管理能力，另外最重要的是要有说服管理层推动应急响应的能力。

@西城周润发

这个事情。我会选第一时间waf加规则缓解。同时协调各业务PM进行安全P0级事件响应。同时安全部门使用SAST工具在私有gitlab中进行log4j2组件排查。让架构部门同学统一进行升级。同时因为豌豆使用的是自研devops工具接人了IAST可以使用IAST的sca功能做复核。然后快速发版修复。另外在平时工作过程中梳理资产信息。从而对各类爆发的漏洞有更快的处置效率。

@Mr.Be1ieVe

先查哪些有，然后定修复方案，最后分发给业务方。期间肯定会自己也先测试一下哪些 站点能复现的，能复现的最优先处理了。

2.对拥有庞大资产的企业而言，如何评估漏洞对其造成的影响，是否修复完漏洞就真正安全了？

@孤鸿寄语

否 ，有的时候新的补丁可能会导致更多的漏洞，关了门却开了窗。

@中蓝九华

外网资产是很头疼了。我们内网的不急。

@律己秋

资产或系统的运营工作这时候显得更重要了，其实每次评估影响面的时候，都离不开资产的运营管理。修复完漏洞肯定不算真正的安全，保不准前期通过变种植入了多少后门。后面要好好反思供应链安全、边界防护，以及之前没大力推动的hids、rasp。

@右相

这个时候就体现资产管理的重要性了。

@南城刘德华

资产清晰应该可以快速响应，修复也要根据业务优先级，区域啥的排个优先级吧，修复了，安全运营持续监控咯。

@鼎盛

一句话总结：HIDS（基于主机型入侵检测系统）是个好东西。

3.应对此类突发性的安全事件，各类厂商都在第一时间推出了自检工具和防护工具。各位通常会如何选择相应的安全产品？又该如何辨别各类工具之间的差异呢？

@孤鸿寄语

以官方网站的公告为准，先升级受影响的程序，打补丁，比如第一时间看看apache和JAVA官网， 第三方工具参差不齐很多还要钱，搞不好还有被木马劫持或者勒索可能。

@律己秋

差异这块没有发言权，只用了一家；工具都是发现和解决问题的手段，适应自己的就是最好的。好不好用自己动手测试几下，找些变种看看结果就很直观。

@孤鸿寄语

自身加固远比用厂商工具重要。前几年吃过亏， 比如2345劫持浏览器事件，用过某厂商的工具 ，没用。 再前几年倒计时漏洞，也用了某个厂商工具，然后浏览器也被这个安全厂商劫持了。

好了，本期精彩观点到此结束啦~此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码申请加入FreeBuf甲方群，小助手周周送福利，获取最新行业秘籍，还不赶快行动？

如有疑问，也可扫码添加小助手微信哦！