1.2 漏洞管理的起源
漏洞管理已经存在了很长时间但鲜有人关注,直到最近才引起人们的重视。长期以来军队都非常明白漏洞管理的重要性,并一直通过训练,不断完善漏洞管理。从组织和策略部署到各个士兵及武器的防御检查,其目的与审计是一样的。反复的训练、装备以及防御重组都是一种修复和改进。但如果不了解敌情,所有这些活动都无从谈起。
一个学过军事历史的学生能够很容易认识到交战的一方是如何利用对方的弱点和策略失误打败对方的。人们往往倾向于将这些胜利者誉为天才,而不会认为是失败者缺乏能力。例如,在坎尼战役中,汉尼拔撤退中线兵力,包围了罗马军队,从而从四面发起进攻,最终击败了罗马军队。由于这一经典战术,汉尼拔被视为战争天才。然而,人们还可以把这场战役看成汉尼拔的对手—罗马执政官之一的瓦罗(Varro)的策略失误。瓦罗原本相信罗马军队能够从中部突破汉尼拔部队的前线部队,从而将敌人的整个防线击退到他们身后的河流处,谁料汉尼拔竟然会改变前线阵型,假装撤退部队中部以诱敌。在战争中,保持部队行进统一是一项基本的军事纪律,但是瓦罗完全没有考虑这些,而这是一个漏洞。
然而,在商业领域里,人们总是倾向于认为应对风险的失败是能力不足的体现,尤其是当公司强大、富裕,能投入足够的资源解决风险时,这种观点尤为突出。
作为IT领域的一个学科,漏洞管理的发展尚不够成熟,用户也缺乏应用经验,这是因为之前一直没有强大的、企业级的技术可用;并且,以前人们也未充分认识到一个完整的、集成的、有着精确的流程定义的解决方案的必要性。虽然在企业环境下军事化的纪律可能不是必需的,但缺乏规范将可能导致某个关键的漏洞没有发现或没有补救,并可能最终导致灾难性的损失。