压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

鑒于及時修復困難重重，需要修復或緩解的新漏洞又層出不窮，漏洞管理公司Rezilion委托波耐蒙研究所調查研究漏洞管理狀況。

波耐蒙研究所主席Larry Ponemon稱：“調查收到了634名IT和安全從業人員的回復。受訪者主要位于北美，其所屬企業均制定了有效的DevSecOps計劃。從技術上講，調查結果的誤差約為3.5%?！?/p>

Ponemon最為關切的是，不到一半的受訪者（47%）認為自己的開發團隊“能夠提供增強的客戶體驗和安全的應用程序”。

問題可能源于該研究的主要發現之一：公司面對的是系統中積壓的10萬個漏洞。不是所有漏洞都可以利用：事實上，其中85%都無法實際利用。話雖如此，仍有1.5萬個漏洞需要修復，工作量大到可怕。

Rezilion首席執行官Liran Tancman稱：“問題的根源在于檢測、確定優先級和修復每個漏洞所需的時間。超過半數的受訪者（77%）稱每個漏洞需要21分鐘?！?/p>

算一下就可以知道，即使僅檢測可利用漏洞，此后也需要花費430天每天12小時的人工，才能清除這些積壓的漏洞。而且每天還有源源不斷的新漏洞出現，這種方法明顯不可持續。

Tancman表示，研究呈現的所有統計數據的重點在于，受訪者認為自己缺乏足夠的工具來解決問題，唯一真正的解決方案是自動化。

他表示：“僅僅梳理企業積壓的大量漏洞，就會耗費無數時間和金錢。如果積壓了超過10萬個漏洞，想想人工檢測、排序和修復這些漏洞花費的分鐘數，可不就是意味著每年要花幾千小時在積存漏洞管理上？這些數字清楚表明，如果沒有適當的工具進行自動檢測、排序和修復，就不可能有效管理積存的漏洞。”

只依賴第三方關鍵漏洞列表于事無補。Tancman以CISA KEV（已知被利用漏洞）列表為例。“當然，這是個很好的起點?！彼f道，“但是，就拿KEV列表中的Log4J（CVE-2021-44228）來說。我們從客戶處得知，他們大概有1萬個Log4J事件，但他們的環境中只有100個是可利用的。漏洞確實存在，但易受攻擊的特定功能它沒運行啊。”

Tancman的觀點是，此類漏洞列表是不錯的起點。“但是，接下來，了解環境中哪些程序真正運行，哪些只是躺那兒啥都不干，是過濾漏洞列表的一種方法?！彼S后提到了“影子軟件”——存在于系統中但由于其打包方式而無法被傳統掃描器檢測到的軟件，這種軟件會造成進一步的麻煩。

檢查應用中包含哪些組件時，可以從軟件物料清單（SBOM）著手。“但是SBOM的幫助有限?！盩ancman說道，“例如，你看不到容器里的東西，而且很多時候還是嵌套的。所以，我們Rezilion不僅查看文件系統，還檢查內存。我們查看執行的一切，細致到函數級別。即使采用了特殊打包方式，我們仍會看到。”

Rezilion的自動化漏洞解決方案主要做三件事。“首先，我們創建動態的軟件物料清單，你可以將之插入自己的環境里，立即就能查看環境中的所有軟件?！盩ancman表示，“你可以搜索Log4J，馬上就能知道都在哪兒?！?/p>

第二件事是漏洞驗證。“使用我們的運行時智能，我們不僅了解你環境中有些什么，而且知道這些東西都在干什么，怎么執行的?！倍@種方法通常表明，大約85%的漏洞都不需要修復，因為就算存在于環境中，但這些漏洞既不可攻擊，又不可利用。

“所以，我們拿到10萬個積壓的漏洞，縮減到1.5萬個待處理的漏洞。然后，我們用智能修復幫助客戶處理這些漏洞。我們經常遇到的是，如果按軟件組件對這些漏洞進行分組，你可以創建策略，只需觸及100個組件，就可以排除1萬個漏洞。于是，我們創建出能夠減少必做事項數量的智能修復策略，還幫你自動化應用這一策略。我們會自動檢測、排序和修復這些漏洞。如今，我們能夠幫助每位客戶大幅減少積壓的漏洞，削減幅度達85%~95%。”

《lDevSecOps漏洞管理狀況》

https://www.rezilion.com/wp-content/uploads/2022/09/Ponemon-Rezilion-Report-Final.pdf

來源：數世咨詢