您的陈述提出了两个错误的假设：

1. 您的防火墙已完全正确配置，并且不存在允许攻击者破坏它的漏洞，并且该完美状态将继续。

2. 您组织中的每个人都是值得信赖的，并且没有风险。

您应该始终采用纵深防御方法，并尽可能保护每一层。如果攻击者确实穿透了边界，或者您确实有一个流氓演员，那么如果未修补，这个 Apache 漏洞可能会被利用。

这是一个古老的问题，总是有相同的答案。

您不能依赖攻击者无法访问您的网络。只需一名员工单击网络钓鱼电子邮件，攻击者就可以在您的网络上占有一席之地。如果您不打补丁，他们将有一个现场日。

威胁报告通常会发现，与来自外部的人相比，来自同事的风险要大得多。例如，从这份 2015 年的报告中，我们有以下数据：

74% 的违规行为源自扩展企业内部——员工 (40%)、第三方 (22%) 或前雇员 (12%)——其中 26% 源自组织外部

...

三分之二 (67%) 的内部安全漏洞源于无意错误——三分之一 (33%) 是由于恶意

因此，74% 中的 33% 为我们提供了大约四分之一的违规行为是由您自己的一位同事决定他们不喜欢您造成的。

这个特定的漏洞需要被具有技术能力的恶意内部威胁利用。一方面，这里的“技术能力”限定词大大缩小了你被攻击的可能性。另一方面，“这个漏洞只会让我们容易受到内部人员的攻击”是不修补的完全不充分的理由。

是的，您确实需要修补内部系统。

让我们假设以下是正确的（可能不是）：

• 您的内部系统是 100% 无法从外部世界渗透的（或者您可以接受每个内部系统都被接管，以防万一发生泄露）。
• 您 100% 信任您组织中的每个人（或更准确地说，任何可以访问 Intranet 的人，其中还可能包括访客、临时雇员等）。

仍然存在根本不需要访问内网的基于 Web 的漏洞，具体体现为 XSS 和 CSRF。

如果您采用与使用 Web 服务器相同的方法不使用 Web 应用程序进行更新，那么可以公平地假设某些应用程序将易受攻击。现在，如果您组织中的任何人在单击链接或访问网站时不小心，知道或猜测您使用什么软件的攻击者可能能够通过 XSS 或 CSRF 获得代码执行。