以風險為基礎的網絡安全初創公司Kenna Security inc成立于2010年，Kenna Security提供了一個風險情報和漏洞平臺，旨在讓InfoSec團隊更快地確定和糾正漏洞。而在這家公司的最新研究中，發現Windows系統中發現的漏洞大約是mac的四倍，但windows系統修補漏洞的速度要比mac快很多。

[[324564]]

漏洞管理公司委托Cyentia研究所分析了450個組織中900萬個資產的數據，并寫了一份報告——《Prioritization to Prediction Volume 5: In Search of Assets at Risk》。

結果表明，漏洞少的資產制造商修補補丁的速度往往較慢，而漏洞多的資產修復速度更快。

例如，它發現基于Windows的資產每月平均有119個漏洞：是Mac OS X中發現漏洞數量的中位數的四倍(32)和網絡設備發現漏洞數量的中位數30倍(4)。

但是，這些Windows漏洞平均在36天內修補，而其他網絡設備則平均需要一年(369天)。

據計算，蘋果平均需要70天才能發布Mac OS X計算機補丁，是微軟的兩倍，而Linux / Unix則需要254天。

微軟的關鍵補丁率為83%，其次是Mac OS X(79%)，其次是網絡設備/設備(64%)，最后是Linux(63%)。

研究人員在Microsoft計算機上發現了2.15億個bug。盡管已修復了1.79億個漏洞，但其余的3600萬個漏洞已超過Mac，Linux，Unix和網絡設備上已修補和未修補的漏洞總數。

Cyentia Institute的合伙人兼創始人Wade Baker說：

“With automated patching and Patch Tuesdays, the speed at which Microsoft is able to fix critical vulnerabilities on their systems is remarkable, but there still tend to be a lot of them,”

“通過自動補丁和二次補丁，微軟能夠以非常快的速度修復其系統上的關鍵漏洞，但是仍然存在很多漏洞。”

“另一方面，我們看到許多資產，例如路由器和打印機，它們的高風險漏洞則有更長的周期。公司需要圍繞這些權衡因素調整其風險承受能力，策略和漏洞管理功能。”

為了更好地處理補丁程序管理，該組織應牢記報告中的以下發現：

• 有很多已發布的漏洞。存在大量漏洞，這些漏洞可能對組織和消費者構成風險。國家漏洞數據庫(NVD)中已經發布了13萬多個，還有許多尚未得到官方認可的漏洞。僅憑純粹的數量，就很清楚為什么這么多漏洞管理程序被洪水淹沒了。隨著2017年CNA流程的擴展，新的CVE錄入率增加了兩倍。雖然這種增長呈指數型發展，但這更多地是對CVE流程的一種衡量，而對軟件和硬件隨時間的固有安全性的關注則較少。
• 修復漏洞也會需要很多時間。就算天天加班也不足以解決130,000個漏洞，但在實際環境中進行修復時，就會變得更復雜。這不僅僅是解決bug的問題，而是一個發現并修復受每個漏洞影響的結果的過程。由于受影響的系統如此之多，因此補救安全隱患可能是一個復雜而漫長的過程。在第一個月內修補了約45%的漏洞，在三個月內修補了66%的漏洞，但不到20%的漏洞可以保留超過一年的時間。
• 組織無法修復所有漏洞。考慮到影響基礎架構的漏洞數量以及修復這些漏洞所花費的時間，因此公司無法持續地對所有漏洞進行補救也就不足為奇了。
• 并非所有漏洞都需要立即修復。漏洞管理似乎是沒有希望的冒險，但是數據中確實有希望的跡象。企業無法解決所有問題，但現實是他們不需要這樣做。許多漏洞會影響大多數企業網絡當前未使用的技術。雖然確實確實會定期出現新的攻擊，但是大多數公司也可以在沒有已知攻擊的情況下安全地降低漏洞的優先級。當您無法解決所有問題時，解決最重要的問題至關重要。
• 公司可以修復所有高風險漏洞。這里有兩個關鍵事實：1)公司無法修復其所有漏洞;2)只有一小部分漏洞具有已知利用。因此，從理論上講，假設激光聚焦，組織可能能夠補救整個環境中的所有高風險漏洞。他們甚至可能有空間來修復尚未利用的漏洞，但可能會在將來。在接受研究的數百家公司中，只有一半以上的公司減少了其環境中的高風險漏洞的數量，而有16%的公司堅守了自己的立場。這意味著三分之二的組織已經成功地管理了現實世界中的漏洞風險。