上个月微软发布了紧急补丁，修复Windows的服务器服务中的严重漏洞，全球的企业的管理员和安全团队立即测试补丁，安排下载时间，并尽快获得分布式补丁。如果存在匆忙采用补丁的情况，这就是一次。不只是在Windows支持的每一个版本上存在漏洞，而微软官方已经警告也可能受到蠕虫攻击。

　　但是在IT员工和终端用户在获得MS08-067补丁的时候，已经晚了。对漏洞的攻击已经发生了，而微软自己也通过对这些攻击的观察和报告了解到了漏洞的情况。而且在补丁发布后的几个小时内，已经发现了利用漏洞的蠕虫。简而言之，攻击者要比我们更有先见之明。

　　这并不时最近才出现的情况。在安全方面工作了多年的人都可以理解这种防御是一种必需的反抗定律。攻击者动了一下，你也动一下，采取应对措施。以此下去。这样就不可避免的导致了现在的混乱的、无效的安全模式：新的威胁产生了，新的产品/技术/技能出现莱解决这种威胁。焦躁，清除，再重复。

　　对所有这些的一个假设是我们的反映措施可以跟得上攻击者的脚步，然而这个假设是不完美的。事实是，不仅攻击者取得了胜利，而且这本来就不是一场真正的竞赛。从刚开始，这场竞赛就是不合规则的。

　　对于想要保护某个网络的安全团队而言，这是个永远不会结束的任务。每次新的漏洞出现，就必须进行鉴别并对网络上的每一台存在漏洞的计算机打补丁，或者面临被攻击的风险。这个循环在操作系统的漏洞、应用、硬件甚至在DNS系统上不停的重复。但是对新的漏洞——或者，更准确地说，刚被提出来的漏洞打补丁只是装饰门面。攻击者很愿意跟在新的漏洞后面，特别是如果存在可利用的可靠代码以及可以选择的大量目标的时候。

　　但是，攻击者还可以找到很多以前的和没有提出的漏洞，有经验的专业黑客基本不需要费力寻找新的漏洞。再考虑下MS08-067漏洞。在这个问题的补丁发布后的几周后，微软发布了十一月的常规月补丁更新，这次更显包括 Server Message Block协议中的问题的补丁。这个漏洞第一次是发现是在七年多以前，而且还曾经被邮件列表中的人士和安全顾问详细讨论过。这个问题已经了解了，而且微软也知道它的弱势，但是没有能力在不破坏其他功能的同时修复这个问题。

　　所以这个漏洞一直没有补丁，而成千上万的企业系统仍然会受到攻击。而这只是现存的不知道数量的漏洞之一，谁都有可能不幸碰到。这个数量可能不知道，但是却不是没有意义。有大量成功的业务就是建立在在攻击者前找到并利用企业网络上的漏洞的能力上的。而且这是个盈利巨大的行业。

　　我最近和一些安全研究人员吃了午饭，他们中有很多都在做渗透测试和安全评估。他们说有很多零日漏洞存在。他们偶尔提到了可以出售的漏洞数量以及他们可以使用的没有补丁的漏洞的数量。而且他们同意两件事情：你所了解的漏洞不是你所需要担心的，而且没有网络的漏洞都是特有的、单一的、一定有的。

　　关键点是黑客成功的攻击只需要一个没有保护的漏洞。它不需要从大量的种类繁多的漏洞中选择；它所要做的只是一个暴露的弱势企业，它就可以离开了。另一方面，安全团队需要防御每一个可能的攻击携带者。一个小错误就可能导致成为下一次攻击的受害者。这是一个不公平的战斗。

　　这表示要停止战斗了吗？在某种程度上，我觉得答案是肯定的。如果你接受不可能保护每一处资产（或者甚至完全保护某一处资产）的假设，那么相应的逻辑反应是鉴别大部分的高价值资产，然后尽力保护它们。很多企业已经这样区分优先级并执行可多年，但是其他很多还仍然在拼命地每时每刻采用每个补丁。目前策略的出现经常是受法规遵从的驱动的，而且可能达不到预期目的，并把时间和资源浪费在了真正的关键系统之外。随着近几年法规压力的增加，最近出现思考方法上的重大变化是不可能的。

　　我们要进行的战争是在第一枪响之前就订了胜负的。