日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

一種主動的網(wǎng)絡(luò)安全方法包括確保所有軟件在資產(chǎn)中都是最新的。這還包括應(yīng)用補丁來關(guān)閉漏洞。這種做法最大限度地降低了風(fēng)險，因為它消除了過程中的過時軟件版本。這是否使修補成為包羅萬象的網(wǎng)絡(luò)安全解決方案？

創(chuàng)新互聯(lián)是一家專注于網(wǎng)站建設(shè)、成都網(wǎng)站制作與策劃設(shè)計,利津網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)十余年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:利津等地區(qū)。利津做網(wǎng)站價格咨詢:028-86922220

雖然補丁是網(wǎng)絡(luò)安全的重要組成部分，但其他安全解決方案和策略必須對其進(jìn)行補充。其中包括防火墻、防病毒軟件和員工安全風(fēng)險意識培訓(xùn)。有趣的是，最新的 X-Force 威脅情報指數(shù)報告稱，2022 年的漏洞中有 26% 已被利用。從 1990 年代初期到現(xiàn)在跟蹤的數(shù)據(jù)顯示，近年來已知漏洞利用的比例有所下降，突顯了維護(hù)良好的補丁管理流程的有效性。

漏洞管理和補丁管理的區(qū)別

成功的補丁管理始于識別漏洞。這看起來像是潛在妥協(xié)的浪潮，因為它們幾乎存在于每一個軟件中。2022 年，美國國家標(biāo)準(zhǔn)技術(shù)研究院 (NIST) 報告了超過23,000 個 新漏洞；在這個數(shù)字中，將超過 17,000 個歸類為關(guān)鍵。

安全團(tuán)隊不能總是在發(fā)現(xiàn)漏洞后立即解決。因此，許多組織都積壓了大量未修復(fù)的漏洞。緩慢的響應(yīng)意味著漏洞將持續(xù)存在并使組織容易受到攻擊。解決漏洞管理很重要，也是可能的。但是，僅僅識別漏洞是不夠的，組織還必須采取措施防范它們。

補丁管理是漏洞管理的一個組成部分，它為組織提供了一種自動化的方法來應(yīng)用供應(yīng)商發(fā)布的軟件補丁來解決安全漏洞。自動化補丁管理工具可以顯示可用補丁，但不一定映射已知漏洞的嚴(yán)重性。補丁管理還需要定義策略和程序來識別關(guān)鍵漏洞，以及應(yīng)用安全補丁的定期計劃。

軟件行業(yè)安全補丁改進(jìn)

近年來，在發(fā)布安全漏洞補丁方面，軟件行業(yè)取得了重大進(jìn)展。較大的公司必須更加主動地識別和解決其產(chǎn)品中的漏洞。這些公司擁有各種資源，包括正式的漏洞賞金計劃，可用于幫助加快安全補丁的開發(fā)。流程效率和創(chuàng)新幫助他們更快地做出響應(yīng)。負(fù)責(zé)將這些安全補丁應(yīng)用到他們的系統(tǒng)的客戶并不總是能快速響應(yīng)。

修復(fù)嚴(yán)重漏洞平均需要60 天，比攻擊者開始利用新發(fā)現(xiàn)的漏洞所需的時間（通常為 15 天）要長得多。攻擊者傾向于利用發(fā)現(xiàn)和補救之間的差距。由于并非所有漏洞都很嚴(yán)重，因此根據(jù)潛在影響確定其優(yōu)先級很重要。安全團(tuán)隊可以專注于首先修補最嚴(yán)重的漏洞，從而降低整體風(fēng)險。

漏洞發(fā)現(xiàn)、排序和修復(fù)的循環(huán)是永無止境的。一些自動化補丁管理工具包括補丁分析，可以縮短確保根據(jù)漏洞嚴(yán)重程度及時應(yīng)用補丁所需的總體時間。

解決軟件和設(shè)備報廢問題

了解所有資產(chǎn)的狀態(tài)是風(fēng)險管理的一個重要方面。漏洞可能隱藏在舊資產(chǎn)中，增加了環(huán)境的安全風(fēng)險。有時可能無法再對軟件和設(shè)備進(jìn)行修補。它們可能已經(jīng)達(dá)到生命周期的盡頭，不再受到供應(yīng)商的支持，或者根本無法適應(yīng)現(xiàn)代網(wǎng)絡(luò)和安全協(xié)議。攻擊者經(jīng)常利用舊的、過時的軟件中的漏洞。

正如 2023 X-Force 威脅情報指數(shù)中所報告的那樣，三到五年前的勒索軟件感染仍然存在于一些未打補丁的舊設(shè)備中。這些機器在初次感染后很長一段時間內(nèi)仍未得到解決。

根據(jù)軟件供應(yīng)商的不同，有一些選項可用于保護(hù)已達(dá)到生命周期終點的軟件。一些供應(yīng)商可能會提供延長保修或類似的東西，在軟件達(dá)到使用壽命后，軟件更新和安全補丁可以在特定時間段內(nèi)繼續(xù)使用。當(dāng)然，這不是長久之計。但它可以給公司多一點時間來探索其他可用的選擇。

無法再更新的未打補丁的資產(chǎn)會給組織帶來額外的風(fēng)險。評估與其持續(xù)使用相關(guān)的長期風(fēng)險非常重要。NIST 建議定期審查這些資產(chǎn)，以確保系統(tǒng)其余部分的完整性。如果更換還不是一種選擇，將這些未打補丁的資產(chǎn)與網(wǎng)絡(luò)的其余部分進(jìn)行分段或微分段可以提供一些保護(hù)，防止?jié)撛诘奈：Α?/p>

當(dāng)緩解方法不能充分解決未修補資產(chǎn)的風(fēng)險時，更換可能是唯一可用的其他選擇。定期檢查持續(xù)緩解與完全替換受影響資產(chǎn)的成本效益分析非常重要。

漏洞和補丁管理的未來

補丁已成為網(wǎng)絡(luò)安全必不可少的。作為綜合漏洞和補丁管理流程的一部分，成功的補丁管理會減少可利用的漏洞。隨著 CISA 發(fā)布利益相關(guān)者特定漏洞分類 (SSVC)系統(tǒng)，漏洞管理有望變得更易于管理，該系統(tǒng)輸出機器可讀的報告，詳細(xì)說明漏洞和嚴(yán)重性，有助于縮短補救時間。這種新的標(biāo)準(zhǔn)化方法可幫助組織關(guān)注最嚴(yán)重的漏洞。該系統(tǒng)在設(shè)計時考慮了自動化工具。最近以網(wǎng)絡(luò)安全為重點的立法也將改變組織處理漏洞和補丁管理的方式。

美國發(fā)布的第 14028 號行政命令“改善國家網(wǎng)絡(luò)安全”包括對軟件材料清單 (SBOM) 的要求，其中必須披露有關(guān)產(chǎn)品各部分來源的特定信息。旨在提供有關(guān)依賴性和已知漏洞的更大透明度以保護(hù)軟件供應(yīng)鏈，此要求在政府軟件合同之外可能會有所幫助。一個完整的 SBOM 可以幫助組織確定軟件組件所需的長期維護(hù)，該軟件組件需要隨著時間的推移進(jìn)行大量補救，或者考慮到存在的漏洞類型，特別容易受到攻擊。

軟件漏洞不會很快消失，保護(hù)它們的補丁也不會消失。補丁管理仍將是網(wǎng)絡(luò)安全的重要組成部分。漏洞管理的未來改進(jìn)和 SBOM 中更透明的披露——結(jié)合軟件行業(yè)通過正式的漏洞賞金計劃和其他創(chuàng)新的改進(jìn)——有可能顯著減少修復(fù)易受攻擊軟件所需的時間。

原作者：米歇爾格林利

網(wǎng)頁題目：是否有修補網(wǎng)絡(luò)安全的圣杯？
本文地址：http://www.dlmjj.cn/article/dpocced.html