日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

未修復漏洞依然是很多公司的主要安全問題。

公司企業(yè)承受著不斷增長的有效漏洞與補丁管理實現(xiàn)壓力：近期多起數(shù)據(jù)泄露事件中，攻擊者展現(xiàn)出利用未修復軟件缺陷獲取關鍵企業(yè)應用及系統(tǒng)訪問權的趨勢。甚至相對較老和很久以前修復的漏洞都還在被利用。

永恒之藍 (EternalBlue) 就是其中一個例子。這是針對微軟服務器消息塊 (SMB) 協(xié)議漏洞的一個漏洞利用程序，由美國國家安全局 (NSA) 開發(fā)，后遭泄露。盡管微軟早在 2017 年初就修復了此遠程代碼執(zhí)行漏洞，直到今年 6 月仍有近 100 萬系統(tǒng)未打補丁——其中僅美國就占了 40 萬臺。攻擊者大肆利用該漏洞投放銀行木馬程序和其他惡意軟件。

云遷移和企業(yè)移動性等數(shù)字化轉型倡議與趨勢也大幅擴張了企業(yè)攻擊界面，進一步強調了鞏固漏洞預防、檢測與緩解策略的重要性。近些年興起的 DevOps、持續(xù)集成與交付 (CI/CD)，以及其他應用開發(fā)與交付模型，同樣關注盡量在軟件開發(fā)生命周期早期階段集成漏洞掃描和修復。

公司企業(yè)若想要實現(xiàn)正式的漏洞與補丁管理項目，需關注八個主要趨勢。

1. 大量數(shù)據(jù)泄露事件涉及未修復漏洞

本年度企業(yè)數(shù)據(jù)泄露事件中，60% 涉及未打上補丁的安全漏洞。波耐蒙研究所最近受 ServiceNow 委托，針對 3,000 家企業(yè)進行了調查研究。結果顯示，相比 2018 年，今年由于漏洞修復延遲而導致的企業(yè)停工增加了 30%。

企業(yè)出于多種原因沒有盡快修復漏洞：沒意識到潛在可致數(shù)據(jù)泄露的漏洞、各部門各自為戰(zhàn)和派系斗爭、資源缺乏，以及缺乏對應用和資產的共識。報告指出，受訪者還稱 “攻擊者以機器學習/人工智能等技術超越了公司”。

2. 漏洞管理壓力推動員工聘用

近 70% 的受訪公司稱計劃在來年雇傭至少五名員工專門負責漏洞管理。企業(yè)在漏洞管理人員上的預期平均年度開支為：65 萬美元。

除了增加人手，很多企業(yè)也在轉向運用自動化應對漏洞修復挑戰(zhàn)。45% 的受訪者稱可通過自動化補丁管理過程減少修復耗時。70% 的受訪者表示，如果負責數(shù)據(jù)泄露的律所要求的話，會實現(xiàn)更好的補丁管理過程。

3. 監(jiān)管激發(fā)漏洞管理項目部署

大多數(shù)數(shù)據(jù)安全監(jiān)管規(guī)定，比如 PCI DSS 和 HIPAA，要求受管轄的實體設置漏洞管理項目。毫無意外，SANS 研究所受 Bromium 委托進行的一項調查中，84% 的受訪企業(yè)報告稱已設置有相應項目。其中約 55% 稱有正式的漏洞管理項目，其他則將自身項目描述為非正式的。約 15% 稱計劃在來年實現(xiàn)漏洞管理項目。

該調查還發(fā)現(xiàn)，大部分設置有漏洞管理項目的企業(yè)采用風險評分過程確定安全漏洞關鍵性。其中 1/3 稱有正式的風險評分過程，近 19% 的風險評估過程為非正式的。調查顯示，用于風險評分的幾個常見因素包括 CVSS 嚴重度、商業(yè)資產關鍵性、威脅情報饋送得分，以及供應商嚴重度評分。

4. 預防、檢測和修復漏洞的成本在增加

本年度，公司企業(yè)和其他組織花費在監(jiān)視系統(tǒng)漏洞與威脅上的時間為平均每周 139 小時，修復應用及系統(tǒng)的時間是平均每周 206 小時;去年這兩個數(shù)值分別為 127 小時和 153 小時。ServiceNow/波耐蒙研究的這份調查研究表明，從每周耗時數(shù)字看，組織機構今年耗費在漏洞及修復相關工作上的時間將超過 2.3 萬小時。

調查發(fā)現(xiàn)，企業(yè)花在預防、檢測、修復、記錄和報告補丁管理過程及修復所致停工上的開銷為平均每周 27,688 美元，也就是每年 144 萬美元。相比 2018 年的 116 萬企業(yè)開支，這一數(shù)字今年高出了 24.4%。

5. 漏洞掃描頻率影響響應時間

DevOps 安全測試公司 Veracode 的研究顯示，更頻繁掃描應用的公司比不那么經(jīng)常掃描的公司在修復漏洞上要快得多。這家安全供應商發(fā)現(xiàn)，每天都掃描自身代碼的軟件開發(fā)公司僅需 19 天的中位時間就能修復漏洞，而每個月掃描次數(shù)在一次及以下的公司，這一時間是 68 天。

Veracode 透露，約半數(shù)應用在其軟件中積累老舊和未解決漏洞，或者說安全欠賬，因為開發(fā)團隊傾向于先關注更新的漏洞。這一趨勢在增加公司企業(yè)的數(shù)據(jù)泄露風險。Veracode 聲稱：掃描頻率最低的那 1/3 的應用，其安全欠賬五倍于掃描頻率最高的那 1% 的應用。

數(shù)據(jù)顯示，頻繁掃描不僅有助于公司找出疏漏，還有助于大幅降低網(wǎng)絡風險。Veracode 表示：公司企業(yè)必須在處理新安全發(fā)現(xiàn)的同時清理掉舊有的那些。

6. 多數(shù)公司補丁部署耗時少于一周

Tripwire 資助的一項針對 340 名信息安全人員的研究發(fā)現(xiàn)，9% 的企業(yè)一獲得安全補丁就會立即部署，49% 在七天內部署。余下的企業(yè)安全補丁部署耗時在兩周到一年以上。比如說，16% 的受訪企業(yè)稱在兩周內部署補丁，19% 在一個月內，6% 在三個月內。

安全廠商 Tripwire 調查中的大部分企業(yè) (40%) 每月修復漏洞數(shù)量少于 10 個，29% 在同樣時限內部署 10 到 50 個補丁。但是，相對較少部分的企業(yè)似乎在 30 天內修復多得多的漏洞。例如，9% 的受訪企業(yè)聲稱每月修復 50 到 100 個漏洞，6% 的企業(yè)這一數(shù)字超過 100。還有 15% 稱根本算不清自家公司每月修復了多少安全漏洞。

7. 多種因素拖累修復腳步

盡管多數(shù)安全公司理解即時修復的重要性，但該過程受到多種原因的阻礙。ServiceNow /波耐蒙研究所的調查中，76% 的受訪者稱，原因之一是 IT 和安全團隊缺乏對應用和資產的共識。幾乎同樣比例 (74%) 的受訪者稱，公司的漏洞修復過程常因下線關鍵應用和系統(tǒng)的考慮而受到延遲。對 72% 的公司而言，補丁優(yōu)先順序是主要問題。人手是另一個原因，僅 64% 的受訪者稱擁有足夠人手及時部署補丁。

調查揭示，大部分 (31%) 公司是 IT 運營團隊負責補丁部署。26% 的公司由安全運營團隊負責此事，17% 的公司是 CISO 的團隊負責。計算機安全事件響應團隊 (CSIRT) 負責補丁部署的企業(yè)占 12%。

8. 多數(shù)公司想快速獲得補丁

發(fā)現(xiàn)軟件安全漏洞時，多數(shù)公司希望開發(fā)人員能快速解決該問題。被問及漏洞發(fā)現(xiàn)和補丁發(fā)布之間的可接受時間框架時，18% 的 Tripwire 調查受訪者稱不接受任何等待。約半數(shù) (48%) 稱愿意給開發(fā)人員七天時間來發(fā)布補丁，16% 覺得兩周也可以接受。令人驚訝的是，17% 的受訪者稱，如果需要的話，登上半年也是可以的。

Tripwire 的調查顯示，大部分公司企業(yè)希望軟件開發(fā)人員持續(xù)發(fā)布產品補丁——即使產品已超出使用期限。36% 的受訪者希望開發(fā)人員在到期一到兩年后仍發(fā)布補丁，15% 希望產品在三到五年間仍受支持。有趣的是，11% 的受訪者稱，供應商在產品到期時立即停止所有補丁支持也行。

• Bromium 調查報告：https://www.bromium.com/wp-content/uploads/2019/04/Survey_Vulnerability-2019_Bromium.pdf
• Tripwire 調查報告：https://www.tripwire.com/state-of-security/wp-content/uploads/sites/3/Tripwire-Dimensional-Research-VM-Survey.pdf

創(chuàng)新互聯(lián)成都網(wǎng)站建設公司，為上千家企業(yè)和品牌提供網(wǎng)站建站、定制網(wǎng)站設計、網(wǎng)站制作、網(wǎng)站策劃服務;公司秉持一絲不茍、精益求精的態(tài)度,創(chuàng)新互聯(lián)深信，為您創(chuàng)造更多價值的同時，亦是成就我們（cdcxhl.com）的品牌品質。

標題名稱：漏洞與補丁管理的八大趨勢
網(wǎng)站路徑：http://www.5511xx.com/article/dpocige.html