漏洞與補丁管理的八大趨勢
未修復漏洞依然是很多公司的主要安全問題。
公司企業承受著不斷增長的有效漏洞與補丁管理實現壓力:近期多起數據泄露事件中,攻擊者展現出利用未修復軟件缺陷獲取關鍵企業應用及系統訪問權的趨勢。甚至相對較老和很久以前修復的漏洞都還在被利用。
永恒之藍 (EternalBlue) 就是其中一個例子。這是針對微軟服務器消息塊 (SMB) 協議漏洞的一個漏洞利用程序,由美國國家安全局 (NSA) 開發,后遭泄露。盡管微軟早在 2017 年初就修復了此遠程代碼執行漏洞,直到今年 6 月仍有近 100 萬系統未打補丁——其中僅美國就占了 40 萬臺。攻擊者大肆利用該漏洞投放銀行木馬程序和其他惡意軟件。
云遷移和企業移動性等數字化轉型倡議與趨勢也大幅擴張了企業攻擊界面,進一步強調了鞏固漏洞預防、檢測與緩解策略的重要性。近些年興起的 DevOps、持續集成與交付 (CI/CD),以及其他應用開發與交付模型,同樣關注盡量在軟件開發生命周期早期階段集成漏洞掃描和修復。
公司企業若想要實現正式的漏洞與補丁管理項目,需關注八個主要趨勢。
1. 大量數據泄露事件涉及未修復漏洞
本年度企業數據泄露事件中,60% 涉及未打上補丁的安全漏洞。波耐蒙研究所最近受 ServiceNow 委托,針對 3,000 家企業進行了調查研究。結果顯示,相比 2018 年,今年由于漏洞修復延遲而導致的企業停工增加了 30%。
企業出于多種原因沒有盡快修復漏洞:沒意識到潛在可致數據泄露的漏洞、各部門各自為戰和派系斗爭、資源缺乏,以及缺乏對應用和資產的共識。報告指出,受訪者還稱 “攻擊者以機器學習/人工智能等技術超越了公司”。
2. 漏洞管理壓力推動員工聘用
近 70% 的受訪公司稱計劃在來年雇傭至少五名員工專門負責漏洞管理。企業在漏洞管理人員上的預期平均年度開支為:65 萬美元。
除了增加人手,很多企業也在轉向運用自動化應對漏洞修復挑戰。45% 的受訪者稱可通過自動化補丁管理過程減少修復耗時。70% 的受訪者表示,如果負責數據泄露的律所要求的話,會實現更好的補丁管理過程。
3. 監管激發漏洞管理項目部署
大多數數據安全監管規定,比如 PCI DSS 和 HIPAA,要求受管轄的實體設置漏洞管理項目。毫無意外,SANS 研究所受 Bromium 委托進行的一項調查中,84% 的受訪企業報告稱已設置有相應項目。其中約 55% 稱有正式的漏洞管理項目,其他則將自身項目描述為非正式的。約 15% 稱計劃在來年實現漏洞管理項目。
該調查還發現,大部分設置有漏洞管理項目的企業采用風險評分過程確定安全漏洞關鍵性。其中 1/3 稱有正式的風險評分過程,近 19% 的風險評估過程為非正式的。調查顯示,用于風險評分的幾個常見因素包括 CVSS 嚴重度、商業資產關鍵性、威脅情報饋送得分,以及供應商嚴重度評分。
4. 預防、檢測和修復漏洞的成本在增加
本年度,公司企業和其他組織花費在監視系統漏洞與威脅上的時間為平均每周 139 小時,修復應用及系統的時間是平均每周 206 小時;去年這兩個數值分別為 127 小時和 153 小時。ServiceNow/波耐蒙研究的這份調查研究表明,從每周耗時數字看,組織機構今年耗費在漏洞及修復相關工作上的時間將超過 2.3 萬小時。
調查發現,企業花在預防、檢測、修復、記錄和報告補丁管理過程及修復所致停工上的開銷為平均每周 27,688 美元,也就是每年 144 萬美元。相比 2018 年的 116 萬企業開支,這一數字今年高出了 24.4%。
5. 漏洞掃描頻率影響響應時間
DevOps 安全測試公司 Veracode 的研究顯示,更頻繁掃描應用的公司比不那么經常掃描的公司在修復漏洞上要快得多。這家安全供應商發現,每天都掃描自身代碼的軟件開發公司僅需 19 天的中位時間就能修復漏洞,而每個月掃描次數在一次及以下的公司,這一時間是 68 天。
Veracode 透露,約半數應用在其軟件中積累老舊和未解決漏洞,或者說安全欠賬,因為開發團隊傾向于先關注更新的漏洞。這一趨勢在增加公司企業的數據泄露風險。Veracode 聲稱:掃描頻率最低的那 1/3 的應用,其安全欠賬五倍于掃描頻率最高的那 1% 的應用。
數據顯示,頻繁掃描不僅有助于公司找出疏漏,還有助于大幅降低網絡風險。Veracode 表示:公司企業必須在處理新安全發現的同時清理掉舊有的那些。
6. 多數公司補丁部署耗時少于一周
Tripwire 資助的一項針對 340 名信息安全人員的研究發現,9% 的企業一獲得安全補丁就會立即部署,49% 在七天內部署。余下的企業安全補丁部署耗時在兩周到一年以上。比如說,16% 的受訪企業稱在兩周內部署補丁,19% 在一個月內,6% 在三個月內。
安全廠商 Tripwire 調查中的大部分企業 (40%) 每月修復漏洞數量少于 10 個,29% 在同樣時限內部署 10 到 50 個補丁。但是,相對較少部分的企業似乎在 30 天內修復多得多的漏洞。例如,9% 的受訪企業聲稱每月修復 50 到 100 個漏洞,6% 的企業這一數字超過 100。還有 15% 稱根本算不清自家公司每月修復了多少安全漏洞。
7. 多種因素拖累修復腳步
盡管多數安全公司理解即時修復的重要性,但該過程受到多種原因的阻礙。ServiceNow /波耐蒙研究所的調查中,76% 的受訪者稱,原因之一是 IT 和安全團隊缺乏對應用和資產的共識。幾乎同樣比例 (74%) 的受訪者稱,公司的漏洞修復過程常因下線關鍵應用和系統的考慮而受到延遲。對 72% 的公司而言,補丁優先順序是主要問題。人手是另一個原因,僅 64% 的受訪者稱擁有足夠人手及時部署補丁。
調查揭示,大部分 (31%) 公司是 IT 運營團隊負責補丁部署。26% 的公司由安全運營團隊負責此事,17% 的公司是 CISO 的團隊負責。計算機安全事件響應團隊 (CSIRT) 負責補丁部署的企業占 12%。
8. 多數公司想快速獲得補丁
發現軟件安全漏洞時,多數公司希望開發人員能快速解決該問題。被問及漏洞發現和補丁發布之間的可接受時間框架時,18% 的 Tripwire 調查受訪者稱不接受任何等待。約半數 (48%) 稱愿意給開發人員七天時間來發布補丁,16% 覺得兩周也可以接受。令人驚訝的是,17% 的受訪者稱,如果需要的話,登上半年也是可以的。
Tripwire 的調查顯示,大部分公司企業希望軟件開發人員持續發布產品補丁——即使產品已超出使用期限。36% 的受訪者希望開發人員在到期一到兩年后仍發布補丁,15% 希望產品在三到五年間仍受支持。有趣的是,11% 的受訪者稱,供應商在產品到期時立即停止所有補丁支持也行。
- Bromium 調查報告:https://www.bromium.com/wp-content/uploads/2019/04/Survey_Vulnerability-2019_Bromium.pdf
- Tripwire 調查報告:https://www.tripwire.com/state-of-security/wp-content/uploads/sites/3/Tripwire-Dimensional-Research-VM-Survey.pdf
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
