从突发事件响应看安全厂商可托付程度

发布时间：2014-08-13 15:58:23作者：知识屋

前段时间出了好几个web和系统相关的，为神马没一个安全公司通知我们要注意防范，并且基于他们的产品提供解决方案呢？
难道他们的产品都做到了dont make me think了吗？实事上并非如此，需要用户提醒厂商有新漏洞，并且要求厂商给出解决方案，那感觉就很糟糕了。试想一下这个场景：
1、jboss出现严重漏洞
2、8小时内安全服务团队获知，并提取出特征及防御方案
3、2小时内产品团队基于特征及防御方案输出防御策略
4、1小时内验证效果及漏报误报情况
5、1小时内推送自动升级策略到全球各地的产品上
6、群发邮件给用户，告知用户厂商针对这个紧急的漏洞做的工作，并且用户可以通过激活某个策略来拦截针对该漏洞的攻击，如果担心误报的话可以先以“只告警”模式部署。

这个时候用户是神马感受？反正我会觉得：
1、这个厂商是真正用心去关心用户的安全的，而不是嘴巴上说什么华丽的辞藻 –>在服务意识上是值得信赖的。
2、这个厂商很professional –> 在技术上是值得信赖的。
3、这个厂商是真正的为采购者考虑的，不会让采购该产品的人为厂商的不作为而背锅。试想一下，采购者花了公司几十万买了个安全产品，有安全漏洞没挡住，老板不干死买这个产品的人或者用这个产品的人才怪 –>是为采购者着想的。

如果有这样的厂商，我想在采购东西的时候用户一定会优先考虑的，因为这是一个可以把自己公司安全托付给他的厂商。

作者素包子

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）