脆弱性泄露具有多種性質(zhì)，在信息安全領(lǐng)域中歷史悠久。雖然安全專業(yè)人員有時支持以緩和形式管理脆弱性泄露，SCADA系統(tǒng)更多相關(guān)結(jié)論的出現(xiàn)，使得許多安全專業(yè)人員重新對他們的觀點進(jìn)行思考。利用熟練的技術(shù)風(fēng)險管理方法以及對風(fēng)險模型的更為細(xì)致的觀察，有助于在這個方面上更加清晰的思考。

       理解泄密對IT風(fēng)險所產(chǎn)生的影響的關(guān)鍵是承認(rèn)威脅和脆弱性之間的相互作用。容易陷入僅考慮受影響脆弱性程度的陷阱。當(dāng)研究人員公開脆弱性時，通常是為了更加安全的軟件。實際上，脆弱性級別不受初期揭露的影響；無論我們是否知道脆弱性級別，當(dāng)脆弱性進(jìn)入環(huán)境時，級別發(fā)生變化(由于攻擊者)。揭露的目的是識別脆弱性，并消弱脆弱性–通常通過路徑–因此降低了脆弱性級別。

        但是一個系統(tǒng)的修補(bǔ)是一個非常危險且耗時的過程。如同所有系統(tǒng)變化一樣，進(jìn)入生產(chǎn)前，必須對補(bǔ)丁進(jìn)行徹底評估和測試。即便如此，補(bǔ)丁仍可能失敗。因此必須對補(bǔ)丁過程相關(guān)成本和避免損害所獲得利益進(jìn)行對比。以前我們知道極少脆弱性曾經(jīng)被實際解決，利用SCADA系統(tǒng)，我們現(xiàn)在可以處理高度敏感的系統(tǒng)，一般長時間不發(fā)生變化，實際應(yīng)用補(bǔ)丁的可能性相當(dāng)?shù)汀８匾氖牵驗樵诜N情況中無可可用的補(bǔ)丁，必須采用其它機(jī)制。最終，脆弱性程度不可能被影響數(shù)月。

        威脅受揭露細(xì)節(jié)影響嚴(yán)重，似乎不直觀。因為聰明人自有其成本利益的分析，任何使其成本降低的舉措將增加其利益。提供的信息越多，例如武器化的攻擊代碼，成本越低。利用SCADA系統(tǒng)，攻擊者知識庫仍然相對較小，因此whitehats專家?guī)椭蟠髱椭嗽搲娜恕?/p>

       許多研究人員(但不是全部)尋找脆弱點，試圖降低風(fēng)險。然而，他們忽略了威脅部分。這意味著，為了降低風(fēng)險，脆弱性級別降低必須大于威脅程度的增加。雖然大多數(shù)脆弱性從來未被利用，過去的眾多例子表明在揭露后發(fā)生的事故更多。既然已經(jīng)掌握了SCADA的情況，不可能通過降低脆弱性級別以彌補(bǔ)威脅的增加，因此發(fā)生更多的事故。

       研究人員提到其成功時，通常突出他們認(rèn)為變得更安全的軟件應(yīng)用–通常這是微軟喜歡的方式。這恰恰是他們不了解脆弱點以及理解威脅重要的很好的例子。雖然這些應(yīng)用程序?qū)嶋H變得更加安全，實際上與事故降低無關(guān)緊要。這突出了兩件事-第一，在所包含環(huán)境中起作用的事情比一定在整體中起作用-這也是為何QA部門仍然有意義的原因。第二，這種整體運行是不起作用的。

        第二件事簡直是不起作用的。在面對這些“更安全”方案時，風(fēng)險如何改變？有沒有人說明風(fēng)險實在正在下降？問題是在世界代碼庫中(或者當(dāng)今大型數(shù)據(jù)中心)太多軟件試圖利用現(xiàn)代技術(shù)查找每一個缺陷。不僅如此，差距正在擴(kuò)大–這就像一個較差的數(shù)學(xué)數(shù)字問題-軟件開發(fā)正在前面以50mph速度前進(jìn)，脆弱性研究以5mph速度在相同方向移動，何時能夠追上？

       由于我們不可能找到所有脆弱性，通常也不可能找到“正確的”脆弱性，因此我們需要利用更好的且更有效的方式保護(hù)我們自己。雖然對脆弱性的“正面攻擊”不起作用，但是還有其它方式處理這些問題。首先，我們可以在架構(gòu)中涉及更好的控制方法。類似微軟藍(lán)帽獎的舉措更有可能引起安全突破。第二，我們可以更加努力地進(jìn)行威脅監(jiān)測。雖然有另一個問題，但是已經(jīng)顯現(xiàn)成功，而且正在轉(zhuǎn)好。這只是開始。

       SCADA系統(tǒng)是個嚴(yán)肅的行業(yè)，其中可能威脅人的生命。Stuxnet是缺陷尋找不起作用的很好的例子-我們丟失了那些價值-以及替換技術(shù)的承諾-我們才發(fā)現(xiàn)違反規(guī)律并返回。為突出某問題的嚴(yán)重性，使其惡化毫無意義。讓安全研究人員-在我們領(lǐng)域內(nèi)最優(yōu)秀的人才-開始以不同方式思考該問題。