三年来未有任何改善 调查显示组织每月只能修复其10%的漏洞

首页 / 业界 / 资讯 /  正文
来源:安全419
发布于:2022-06-15
SecurityScorecard和网络研究所的一项研究显示,尽管网络攻击在过去三年中增加了15倍,但只有60%的组织改善了安全态势。

这项联合研究试图衡量2019-2022年漏洞补救的速度,显示在漏洞补救领域取得的进展非常有限。研究发现,在接受评估的160万个组织中,53%的组织至少有一个暴露在互联网上的漏洞,而22%的组织每个组织积累了1000个以上的漏洞,这证实了组织在保护自身关键资产方面仍有很大的提升空间。


有安全专家表示,漏洞修复的速度是衡量组织网络安全健康状况的重要指标之一,在当今快速演变的威胁格局中,组织必须迅速采取行动,更快地减少漏洞。根据以往和现在的调查数据可以综合看出,金融部门的补救速度最慢(修复50%可利用漏洞的中位数为426天),而公用事业部门的修复速度最快(中位数为270天)。

有些令人吃惊的是,尽管漏洞利用相关的披露增加了15倍,但几乎没有证据表明组织可以更快地修复这些漏洞,因为调查结果显示,组织通常每月修复的漏洞只有当期时间段的所存在漏洞的约10%,而这一数据与2019年时的一份调查报告(Kenna Security和the Cyentia发布《预测的优先次序第三卷》)所给出的数据没有任何变化。

研究表明,信息部门(62.6%)和公共部门(61.6%)的公开漏洞流行率最高。金融部门(48.6%)的公开漏洞比例最低。分析显示,组织通常需要12个月的时间来修复其面向互联网的基础设施中50%的漏洞。当公司的公开漏洞少于10个时,可能需要大约一个月的时间才能修复其中的一半,但当漏洞数量增加到数百个时,则需要长达一年的时间才能达到一半。

可以看到,供应商和服务提供商可能存在漏洞,这就需要对整个生态系统保持持续的可见性,只有依靠更高的可见性,才能令组织可以根据数据确定风险和补救的优先顺序,并尽可能地降低风险发生的可能性。

通过上述报告内容可以看出,组织在漏洞管理方面仍有着很多的不足。国内专注于外部攻击面管理的安全厂商零零信安认为,在安全运营工作中,想修复所有的漏洞几乎不可能,通过应用VPT(漏洞优先级管理技术),可以实现动态的将需要修复的漏洞进行优先级排序和流程优化,提高修复效率,以达到用最少的时间实现最好的效果。而根据Tenable此前发布的研究报告显示,在通过对20万亿漏洞情报等数据进行人工分析和机器学习后,他们认为安全团队应该优先关注的漏洞占所有漏洞的3%左右。这意味着,在漏洞数量庞大且仍在持续增长的情况下,企业应当改变漏洞管理的思路,应用新的技术、工具,帮助分析、判断自身存在的漏洞优先级,将有限的安全资源投入到对自身风险更高的漏洞处理中,这样才有可能实现投入20%的时间去消除80%的漏洞风险的最佳结果。

然而,漏洞其实也只是攻击面所包含的一部分,针对企业攻击面过大,且远远超出安全团队的管理能力的现状,零零信安推出的0.zone攻击面管理系统具备数字资产识别及清点、漏洞修复与管控、云安全与管理、数据泄露检测、子公司风险评估、供应链/第三方风险评估、并购风险评估等方面的外部攻击面管理(EASM)能力,能够持续帮助企业发现不断变化的攻击面,让企业获得攻击者的视角,为安全防御赋能。

简而言之,随着数字化转型的不断深入,漏洞问题对企业造成的困扰将会日益加剧,漏洞修复速度长期没有大的改善也说明了这一点,作为企业而言,也需要及时的跟进更为先进的安全运营理念和思路,通过应用新的技术、工具、服务来规避风险,攻击面管理作为相对较新的概念,在应对当前环境下的风险有着比攻击者更快一步的优势,在有效降低风险的同时,也为修复自身问题争取了更多的时间。