漏洞與補丁管理的八個趨勢
責(zé)編:gltian |2019-11-08 14:58:12未修復(fù)漏洞依然是很多公司的主要安全問題。
公司企業(yè)承受著不斷增長的有效漏洞與補丁管理實現(xiàn)壓力:近期多起數(shù)據(jù)泄露事件中,攻擊者展現(xiàn)出利用未修復(fù)軟件缺陷獲取關(guān)鍵企業(yè)應(yīng)用及系統(tǒng)訪問權(quán)的趨勢。甚至相對較老和很久以前修復(fù)的漏洞都還在被利用。
永恒之藍 (EternalBlue) 就是其中一個例子。這是針對微軟服務(wù)器消息塊 (SMB) 協(xié)議漏洞的一個漏洞利用程序,由美國國家安全局 (NSA) 開發(fā),后遭泄露。盡管微軟早在 2017 年初就修復(fù)了此遠程代碼執(zhí)行漏洞,直到今年 6 月仍有近 100 萬系統(tǒng)未打補丁——其中僅美國就占了 40 萬臺。攻擊者大肆利用該漏洞投放銀行木馬程序和其他惡意軟件。
云遷移和企業(yè)移動性等數(shù)字化轉(zhuǎn)型倡議與趨勢也大幅擴張了企業(yè)攻擊界面,進一步強調(diào)了鞏固漏洞預(yù)防、檢測與緩解策略的重要性。近些年興起的 DevOps、持續(xù)集成與交付 (CI/CD),以及其他應(yīng)用開發(fā)與交付模型,同樣關(guān)注盡量在軟件開發(fā)生命周期早期階段集成漏洞掃描和修復(fù)。
公司企業(yè)若想要實現(xiàn)正式的漏洞與補丁管理項目,需關(guān)注八個主要趨勢。
1. 大量數(shù)據(jù)泄露事件涉及未修復(fù)漏洞
本年度企業(yè)數(shù)據(jù)泄露事件中,60% 涉及未打上補丁的安全漏洞。波耐蒙研究所最近受 ServiceNow 委托,針對 3,000 家企業(yè)進行了調(diào)查研究。結(jié)果顯示,相比 2018 年,今年由于漏洞修復(fù)延遲而導(dǎo)致的企業(yè)停工增加了 30%。
企業(yè)出于多種原因沒有盡快修復(fù)漏洞:沒意識到潛在可致數(shù)據(jù)泄露的漏洞、各部門各自為戰(zhàn)和派系斗爭、資源缺乏,以及缺乏對應(yīng)用和資產(chǎn)的共識。報告指出,受訪者還稱 “攻擊者以機器學(xué)習(xí)/人工智能等技術(shù)超越了公司”。
2. 漏洞管理壓力推動員工聘用
近 70% 的受訪公司稱計劃在來年雇傭至少五名員工專門負責(zé)漏洞管理。企業(yè)在漏洞管理人員上的預(yù)期平均年度開支為:65 萬美元。
除了增加人手,很多企業(yè)也在轉(zhuǎn)向運用自動化應(yīng)對漏洞修復(fù)挑戰(zhàn)。45% 的受訪者稱可通過自動化補丁管理過程減少修復(fù)耗時。70% 的受訪者表示,如果負責(zé)數(shù)據(jù)泄露的律所要求的話,會實現(xiàn)更好的補丁管理過程。
3. 監(jiān)管激發(fā)漏洞管理項目部署
大多數(shù)數(shù)據(jù)安全監(jiān)管規(guī)定,比如 PCI DSS 和 HIPAA,要求受管轄的實體設(shè)置漏洞管理項目。毫無意外,SANS 研究所受 Bromium 委托進行的一項調(diào)查中,84% 的受訪企業(yè)報告稱已設(shè)置有相應(yīng)項目。其中約 55% 稱有正式的漏洞管理項目,其他則將自身項目描述為非正式的。約 15% 稱計劃在來年實現(xiàn)漏洞管理項目。
該調(diào)查還發(fā)現(xiàn),大部分設(shè)置有漏洞管理項目的企業(yè)采用風(fēng)險評分過程確定安全漏洞關(guān)鍵性。其中 1/3 稱有正式的風(fēng)險評分過程,近 19% 的風(fēng)險評估過程為非正式的。調(diào)查顯示,用于風(fēng)險評分的幾個常見因素包括 CVSS 嚴重度、商業(yè)資產(chǎn)關(guān)鍵性、威脅情報饋送得分,以及供應(yīng)商嚴重度評分。
4. 預(yù)防、檢測和修復(fù)漏洞的成本在增加
本年度,公司企業(yè)和其他組織花費在監(jiān)視系統(tǒng)漏洞與威脅上的時間為平均每周 139 小時,修復(fù)應(yīng)用及系統(tǒng)的時間是平均每周 206 小時;去年這兩個數(shù)值分別為 127 小時和 153 小時。ServiceNow/波耐蒙研究的這份調(diào)查研究表明,從每周耗時數(shù)字看,組織機構(gòu)今年耗費在漏洞及修復(fù)相關(guān)工作上的時間將超過 2.3 萬小時。
調(diào)查發(fā)現(xiàn),企業(yè)花在預(yù)防、檢測、修復(fù)、記錄和報告補丁管理過程及修復(fù)所致停工上的開銷為平均每周 27,688 美元,也就是每年 144 萬美元。相比 2018 年的 116 萬企業(yè)開支,這一數(shù)字今年高出了 24.4%。
5. 漏洞掃描頻率影響響應(yīng)時間
DevOps 安全測試公司 Veracode 的研究顯示,更頻繁掃描應(yīng)用的公司比不那么經(jīng)常掃描的公司在修復(fù)漏洞上要快得多。這家安全供應(yīng)商發(fā)現(xiàn),每天都掃描自身代碼的軟件開發(fā)公司僅需 19 天的中位時間就能修復(fù)漏洞,而每個月掃描次數(shù)在一次及以下的公司,這一時間是 68 天。
Veracode 透露,約半數(shù)應(yīng)用在其軟件中積累老舊和未解決漏洞,或者說安全欠賬,因為開發(fā)團隊傾向于先關(guān)注更新的漏洞。這一趨勢在增加公司企業(yè)的數(shù)據(jù)泄露風(fēng)險。Veracode 聲稱:掃描頻率最低的那 1/3 的應(yīng)用,其安全欠賬五倍于掃描頻率最高的那 1% 的應(yīng)用。
數(shù)據(jù)顯示,頻繁掃描不僅有助于公司找出疏漏,還有助于大幅降低網(wǎng)絡(luò)風(fēng)險。Veracode 表示:公司企業(yè)必須在處理新安全發(fā)現(xiàn)的同時清理掉舊有的那些。
6. 多數(shù)公司補丁部署耗時少于一周
Tripwire 資助的一項針對 340 名信息安全人員的研究發(fā)現(xiàn),9% 的企業(yè)一獲得安全補丁就會立即部署,49% 在七天內(nèi)部署。余下的企業(yè)安全補丁部署耗時在兩周到一年以上。比如說,16% 的受訪企業(yè)稱在兩周內(nèi)部署補丁,19% 在一個月內(nèi),6% 在三個月內(nèi)。
安全廠商 Tripwire 調(diào)查中的大部分企業(yè) (40%) 每月修復(fù)漏洞數(shù)量少于 10 個,29% 在同樣時限內(nèi)部署 10 到 50 個補丁。但是,相對較少部分的企業(yè)似乎在 30 天內(nèi)修復(fù)多得多的漏洞。例如,9% 的受訪企業(yè)聲稱每月修復(fù) 50 到 100 個漏洞,6% 的企業(yè)這一數(shù)字超過 100。還有 15% 稱根本算不清自家公司每月修復(fù)了多少安全漏洞。
7. 多種因素拖累修復(fù)腳步
盡管多數(shù)安全公司理解即時修復(fù)的重要性,但該過程受到多種原因的阻礙。ServiceNow /波耐蒙研究所的調(diào)查中,76% 的受訪者稱,原因之一是 IT 和安全團隊缺乏對應(yīng)用和資產(chǎn)的共識。幾乎同樣比例 (74%) 的受訪者稱,公司的漏洞修復(fù)過程常因下線關(guān)鍵應(yīng)用和系統(tǒng)的考慮而受到延遲。對 72% 的公司而言,補丁優(yōu)先順序是主要問題。人手是另一個原因,僅 64% 的受訪者稱擁有足夠人手及時部署補丁。
調(diào)查揭示,大部分 (31%) 公司是 IT 運營團隊負責(zé)補丁部署。26% 的公司由安全運營團隊負責(zé)此事,17% 的公司是 CISO 的團隊負責(zé)。計算機安全事件響應(yīng)團隊 (CSIRT) 負責(zé)補丁部署的企業(yè)占 12%。
8. 多數(shù)公司想快速獲得補丁
發(fā)現(xiàn)軟件安全漏洞時,多數(shù)公司希望開發(fā)人員能快速解決該問題。被問及漏洞發(fā)現(xiàn)和補丁發(fā)布之間的可接受時間框架時,18% 的 Tripwire 調(diào)查受訪者稱不接受任何等待。約半數(shù) (48%) 稱愿意給開發(fā)人員七天時間來發(fā)布補丁,16% 覺得兩周也可以接受。令人驚訝的是,17% 的受訪者稱,如果需要的話,登上半年也是可以的。
Tripwire 的調(diào)查顯示,大部分公司企業(yè)希望軟件開發(fā)人員持續(xù)發(fā)布產(chǎn)品補丁——即使產(chǎn)品已超出使用期限。36% 的受訪者希望開發(fā)人員在到期一到兩年后仍發(fā)布補丁,15% 希望產(chǎn)品在三到五年間仍受支持。有趣的是,11% 的受訪者稱,供應(yīng)商在產(chǎn)品到期時立即停止所有補丁支持也行。
Bromium 調(diào)查報告:
https://www.bromium.com/wp-content/uploads/2019/04/Survey_Vulnerability-2019_Bromium.pdf
Tripwire 調(diào)查報告:
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧