日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
漏洞與補(bǔ)丁管理的八大趨勢(shì)

未修復(fù)漏洞依然是很多公司的主要安全問(wèn)題。

公司企業(yè)承受著不斷增長(zhǎng)的有效漏洞與補(bǔ)丁管理實(shí)現(xiàn)壓力:近期多起數(shù)據(jù)泄露事件中,攻擊者展現(xiàn)出利用未修復(fù)軟件缺陷獲取關(guān)鍵企業(yè)應(yīng)用及系統(tǒng)訪問(wèn)權(quán)的趨勢(shì)。甚至相對(duì)較老和很久以前修復(fù)的漏洞都還在被利用。

永恒之藍(lán) (EternalBlue) 就是其中一個(gè)例子。這是針對(duì)微軟服務(wù)器消息塊 (SMB) 協(xié)議漏洞的一個(gè)漏洞利用程序,由美國(guó)國(guó)家安全局 (NSA) 開(kāi)發(fā),后遭泄露。盡管微軟早在 2017 年初就修復(fù)了此遠(yuǎn)程代碼執(zhí)行漏洞,直到今年 6 月仍有近 100 萬(wàn)系統(tǒng)未打補(bǔ)丁——其中僅美國(guó)就占了 40 萬(wàn)臺(tái)。攻擊者大肆利用該漏洞投放銀行木馬程序和其他惡意軟件。

云遷移和企業(yè)移動(dòng)性等數(shù)字化轉(zhuǎn)型倡議與趨勢(shì)也大幅擴(kuò)張了企業(yè)攻擊界面,進(jìn)一步強(qiáng)調(diào)了鞏固漏洞預(yù)防、檢測(cè)與緩解策略的重要性。近些年興起的 DevOps、持續(xù)集成與交付 (CI/CD),以及其他應(yīng)用開(kāi)發(fā)與交付模型,同樣關(guān)注盡量在軟件開(kāi)發(fā)生命周期早期階段集成漏洞掃描和修復(fù)。

公司企業(yè)若想要實(shí)現(xiàn)正式的漏洞與補(bǔ)丁管理項(xiàng)目,需關(guān)注八個(gè)主要趨勢(shì)。

1. 大量數(shù)據(jù)泄露事件涉及未修復(fù)漏洞

本年度企業(yè)數(shù)據(jù)泄露事件中,60% 涉及未打上補(bǔ)丁的安全漏洞。波耐蒙研究所最近受 ServiceNow 委托,針對(duì) 3,000 家企業(yè)進(jìn)行了調(diào)查研究。結(jié)果顯示,相比 2018 年,今年由于漏洞修復(fù)延遲而導(dǎo)致的企業(yè)停工增加了 30%。

企業(yè)出于多種原因沒(méi)有盡快修復(fù)漏洞:沒(méi)意識(shí)到潛在可致數(shù)據(jù)泄露的漏洞、各部門(mén)各自為戰(zhàn)和派系斗爭(zhēng)、資源缺乏,以及缺乏對(duì)應(yīng)用和資產(chǎn)的共識(shí)。報(bào)告指出,受訪者還稱 “攻擊者以機(jī)器學(xué)習(xí)/人工智能等技術(shù)超越了公司”。

2. 漏洞管理壓力推動(dòng)員工聘用

近 70% 的受訪公司稱計(jì)劃在來(lái)年雇傭至少五名員工專(zhuān)門(mén)負(fù)責(zé)漏洞管理。企業(yè)在漏洞管理人員上的預(yù)期平均年度開(kāi)支為:65 萬(wàn)美元。

除了增加人手,很多企業(yè)也在轉(zhuǎn)向運(yùn)用自動(dòng)化應(yīng)對(duì)漏洞修復(fù)挑戰(zhàn)。45% 的受訪者稱可通過(guò)自動(dòng)化補(bǔ)丁管理過(guò)程減少修復(fù)耗時(shí)。70% 的受訪者表示,如果負(fù)責(zé)數(shù)據(jù)泄露的律所要求的話,會(huì)實(shí)現(xiàn)更好的補(bǔ)丁管理過(guò)程。

3. 監(jiān)管激發(fā)漏洞管理項(xiàng)目部署

大多數(shù)數(shù)據(jù)安全監(jiān)管規(guī)定,比如 PCI DSS 和 HIPAA,要求受管轄的實(shí)體設(shè)置漏洞管理項(xiàng)目。毫無(wú)意外,SANS 研究所受 Bromium 委托進(jìn)行的一項(xiàng)調(diào)查中,84% 的受訪企業(yè)報(bào)告稱已設(shè)置有相應(yīng)項(xiàng)目。其中約 55% 稱有正式的漏洞管理項(xiàng)目,其他則將自身項(xiàng)目描述為非正式的。約 15% 稱計(jì)劃在來(lái)年實(shí)現(xiàn)漏洞管理項(xiàng)目。

該調(diào)查還發(fā)現(xiàn),大部分設(shè)置有漏洞管理項(xiàng)目的企業(yè)采用風(fēng)險(xiǎn)評(píng)分過(guò)程確定安全漏洞關(guān)鍵性。其中 1/3 稱有正式的風(fēng)險(xiǎn)評(píng)分過(guò)程,近 19% 的風(fēng)險(xiǎn)評(píng)估過(guò)程為非正式的。調(diào)查顯示,用于風(fēng)險(xiǎn)評(píng)分的幾個(gè)常見(jiàn)因素包括 CVSS 嚴(yán)重度、商業(yè)資產(chǎn)關(guān)鍵性、威脅情報(bào)饋送得分,以及供應(yīng)商嚴(yán)重度評(píng)分。

4. 預(yù)防、檢測(cè)和修復(fù)漏洞的成本在增加

本年度,公司企業(yè)和其他組織花費(fèi)在監(jiān)視系統(tǒng)漏洞與威脅上的時(shí)間為平均每周 139 小時(shí),修復(fù)應(yīng)用及系統(tǒng)的時(shí)間是平均每周 206 小時(shí);去年這兩個(gè)數(shù)值分別為 127 小時(shí)和 153 小時(shí)。ServiceNow/波耐蒙研究的這份調(diào)查研究表明,從每周耗時(shí)數(shù)字看,組織機(jī)構(gòu)今年耗費(fèi)在漏洞及修復(fù)相關(guān)工作上的時(shí)間將超過(guò) 2.3 萬(wàn)小時(shí)。

調(diào)查發(fā)現(xiàn),企業(yè)花在預(yù)防、檢測(cè)、修復(fù)、記錄和報(bào)告補(bǔ)丁管理過(guò)程及修復(fù)所致停工上的開(kāi)銷(xiāo)為平均每周 27,688 美元,也就是每年 144 萬(wàn)美元。相比 2018 年的 116 萬(wàn)企業(yè)開(kāi)支,這一數(shù)字今年高出了 24.4%。

5. 漏洞掃描頻率影響響應(yīng)時(shí)間

DevOps 安全測(cè)試公司 Veracode 的研究顯示,更頻繁掃描應(yīng)用的公司比不那么經(jīng)常掃描的公司在修復(fù)漏洞上要快得多。這家安全供應(yīng)商發(fā)現(xiàn),每天都掃描自身代碼的軟件開(kāi)發(fā)公司僅需 19 天的中位時(shí)間就能修復(fù)漏洞,而每個(gè)月掃描次數(shù)在一次及以下的公司,這一時(shí)間是 68 天。

Veracode 透露,約半數(shù)應(yīng)用在其軟件中積累老舊和未解決漏洞,或者說(shuō)安全欠賬,因?yàn)殚_(kāi)發(fā)團(tuán)隊(duì)傾向于先關(guān)注更新的漏洞。這一趨勢(shì)在增加公司企業(yè)的數(shù)據(jù)泄露風(fēng)險(xiǎn)。Veracode 聲稱:掃描頻率最低的那 1/3 的應(yīng)用,其安全欠賬五倍于掃描頻率最高的那 1% 的應(yīng)用。

數(shù)據(jù)顯示,頻繁掃描不僅有助于公司找出疏漏,還有助于大幅降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。Veracode 表示:公司企業(yè)必須在處理新安全發(fā)現(xiàn)的同時(shí)清理掉舊有的那些。

6. 多數(shù)公司補(bǔ)丁部署耗時(shí)少于一周

Tripwire 資助的一項(xiàng)針對(duì) 340 名信息安全人員的研究發(fā)現(xiàn),9% 的企業(yè)一獲得安全補(bǔ)丁就會(huì)立即部署,49% 在七天內(nèi)部署。余下的企業(yè)安全補(bǔ)丁部署耗時(shí)在兩周到一年以上。比如說(shuō),16% 的受訪企業(yè)稱在兩周內(nèi)部署補(bǔ)丁,19% 在一個(gè)月內(nèi),6% 在三個(gè)月內(nèi)。

安全廠商 Tripwire 調(diào)查中的大部分企業(yè) (40%) 每月修復(fù)漏洞數(shù)量少于 10 個(gè),29% 在同樣時(shí)限內(nèi)部署 10 到 50 個(gè)補(bǔ)丁。但是,相對(duì)較少部分的企業(yè)似乎在 30 天內(nèi)修復(fù)多得多的漏洞。例如,9% 的受訪企業(yè)聲稱每月修復(fù) 50 到 100 個(gè)漏洞,6% 的企業(yè)這一數(shù)字超過(guò) 100。還有 15% 稱根本算不清自家公司每月修復(fù)了多少安全漏洞。

7. 多種因素拖累修復(fù)腳步

盡管多數(shù)安全公司理解即時(shí)修復(fù)的重要性,但該過(guò)程受到多種原因的阻礙。ServiceNow /波耐蒙研究所的調(diào)查中,76% 的受訪者稱,原因之一是 IT 和安全團(tuán)隊(duì)缺乏對(duì)應(yīng)用和資產(chǎn)的共識(shí)。幾乎同樣比例 (74%) 的受訪者稱,公司的漏洞修復(fù)過(guò)程常因下線關(guān)鍵應(yīng)用和系統(tǒng)的考慮而受到延遲。對(duì) 72% 的公司而言,補(bǔ)丁優(yōu)先順序是主要問(wèn)題。人手是另一個(gè)原因,僅 64% 的受訪者稱擁有足夠人手及時(shí)部署補(bǔ)丁。

調(diào)查揭示,大部分 (31%) 公司是 IT 運(yùn)營(yíng)團(tuán)隊(duì)負(fù)責(zé)補(bǔ)丁部署。26% 的公司由安全運(yùn)營(yíng)團(tuán)隊(duì)負(fù)責(zé)此事,17% 的公司是 CISO 的團(tuán)隊(duì)負(fù)責(zé)。計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì) (CSIRT) 負(fù)責(zé)補(bǔ)丁部署的企業(yè)占 12%。

8. 多數(shù)公司想快速獲得補(bǔ)丁

發(fā)現(xiàn)軟件安全漏洞時(shí),多數(shù)公司希望開(kāi)發(fā)人員能快速解決該問(wèn)題。被問(wèn)及漏洞發(fā)現(xiàn)和補(bǔ)丁發(fā)布之間的可接受時(shí)間框架時(shí),18% 的 Tripwire 調(diào)查受訪者稱不接受任何等待。約半數(shù) (48%) 稱愿意給開(kāi)發(fā)人員七天時(shí)間來(lái)發(fā)布補(bǔ)丁,16% 覺(jué)得兩周也可以接受。令人驚訝的是,17% 的受訪者稱,如果需要的話,登上半年也是可以的。

Tripwire 的調(diào)查顯示,大部分公司企業(yè)希望軟件開(kāi)發(fā)人員持續(xù)發(fā)布產(chǎn)品補(bǔ)丁——即使產(chǎn)品已超出使用期限。36% 的受訪者希望開(kāi)發(fā)人員在到期一到兩年后仍發(fā)布補(bǔ)丁,15% 希望產(chǎn)品在三到五年間仍受支持。有趣的是,11% 的受訪者稱,供應(yīng)商在產(chǎn)品到期時(shí)立即停止所有補(bǔ)丁支持也行。

  • Bromium 調(diào)查報(bào)告:https://www.bromium.com/wp-content/uploads/2019/04/Survey_Vulnerability-2019_Bromium.pdf
  • Tripwire 調(diào)查報(bào)告:https://www.tripwire.com/state-of-security/wp-content/uploads/sites/3/Tripwire-Dimensional-Research-VM-Survey.pdf

創(chuàng)新互聯(lián)成都網(wǎng)站建設(shè)公司,為上千家企業(yè)和品牌提供網(wǎng)站建站、定制網(wǎng)站設(shè)計(jì)、網(wǎng)站制作、網(wǎng)站策劃服務(wù);公司秉持一絲不茍、精益求精的態(tài)度,創(chuàng)新互聯(lián)深信,為您創(chuàng)造更多價(jià)值的同時(shí),亦是成就我們(cdcxhl.com)的品牌品質(zhì)。


文章標(biāo)題:漏洞與補(bǔ)丁管理的八大趨勢(shì)
文章URL:http://www.dlmjj.cn/article/dpocige.html