极速聊科技：从新增用户1.9亿到股价下跌16%，Zoom的“漏洞”围城( 二 ) 漏洞安全问题

可以说，漏洞引发的安全问题几乎成为企业业务开展的生命线。从Zoom事件中，我们或许应该深入思考如何降低安全漏洞对企业的威胁。
1、安全是业务长远发展的根基
为什么Zoom在过去9年都没有发现的漏洞却在最近1个月里被曝光。企业在收获用户激增的红利下，有没有思考用户量提升后带来的安全问题很重要。
在1000万用户规模下，如果企业认为“定期的漏扫就足够了”、“内部能够自己能发现、解决漏洞” ，可一旦遇见用户量大跃升等情况，再去做漏洞管理就来不及了，那些隐藏的漏洞会被外部提前发现、披露。显然，从1000万用户到2亿用户，虽然Zoom做出了一些安全举措，但显然还不够、来不及。
在”致Zoom用户的一封信”中提到：因为用户数的激增， Zoom员工一直都在全天候工作。因为“在设计这款产品时并没有预见到，在短短几周内，全球各地的人们突然紧急开始在家办公、学习和社交。现在，我们有了更广泛的用户群体，他们正以各种意想不到的方式使用我们的产品，这给我们带来的挑战是我们在设计平台时所没有预料到的。 ”
因此，我们一直强调安全一定是企业业务长远发展的根基。在2亿用户规模下安全建设很重要， 1000万用户规模下安全建设也不能忽视，让业务从开始就融入安全的理念，才能应对突发的威胁，保障业务的长远发展。
2、重视漏洞全生命周期管理
目前披露的2个Zoom漏洞是如何披露的？是媒体采访人员、安全研究人员对外发声。这个过程中没有给Zoom留下足够的反应和漏洞修补时间。
漏洞的披露暴露了Zoom在漏洞管理上的不足。有趣的是，我们发现了2019年Zoom对于用户上报2个的漏洞的处理：
2019年3月26日，漏洞被上报给Zoom ，然后， Zoom花了10天的时间来确认漏洞，并且“Zoom安全工程师不在办公室，并表示由于政策，即使在漏洞被修补后也不能公开细节，并拒绝提供奖励。 ”而真正讨论漏洞修补的时间是在2019年6月11日。可以说， Zoom在保护客户安全方面不够积极主动，而漏洞管理中存在的问题也给企业留下了安全隐患。
谈到漏洞的全生命周期落地，这并不容易，但是企业成长的过程中必须要做的一个事情。生命周期包括了漏洞发现、漏洞跟踪和漏洞记录。也就是先发现漏洞，然后跟进、修复漏洞，最后要将各种情况的漏洞以及漏洞处理措施记录在案。
然而，由于企业的安全能力有限度，仅仅依靠内部的安全团队很难真正地及时发现所有潜在的漏洞。第一步的发现没有做好，后续的跟进与修复自然无法进行。因此，随着企业安全建设的不断深入，可以拓展漏洞发现渠道，譬如企业SRC、国家信息安全漏洞共享平台、第三方漏洞提交平台。越来越多的企业开始拥抱众测模式，通过白帽子的接入与链接，强化企业的安全能力。
同时，为规范网络安全漏洞报告和信息发布等行为，避免漏洞夸大披露乃至被恶意利用的情况， 2019年我国工信部发布了《网络安全漏洞管理规定》，企业落地网络安全漏洞管理时可以以此为参考。
最后，企业还可以适当通过漏洞奖励、强化漏扫等手段进一步加强与安全研究/从业人员的交流，使其不是简单直接向公众公开披露。