漏洞管理的八大趨勢
大量數據和案例表明,雖然漏洞評估和管理工具不斷豐富,但是漏洞管理重在“管理”,企業的漏洞管理或脆弱性風險相關管理依然存在很大的改進空間,例如,人才資金匱乏、缺乏對漏洞風險和受影響資產的感知能力、企業孤島和部門戰爭、漏洞修復效率低下等。與此同時,漏洞風險正隨著攻擊技術的快速升級而增加,例如攻擊者在利用機器學習/人工智能技術方面已經超越了防御者。
以下,我們匯總歸納了2020年的全球八大漏洞管理趨勢:
一、數據泄露大多與漏洞未修補有關
雖然網絡安全工具和方法日新月異,但漏洞管理始終是企業網絡安全的致命環節,近年來60%的企業數據泄露與安全漏洞未得到修補有關。根據Ponemon Institute對近3,000個組織進行的最新調查顯示,與2018年相比,2019年未能及時修補漏洞導致的停機給企業造成的損失增加了30%。
二、招兵買馬+流程自動化
根據ServiceNow/Ponemon的調查,70%的企業表示,他們計劃在2020年雇用至少五名員工來進行漏洞管理。對于這些員工,企業的預期平均年成本為:650,000美元。
除了增加人員外,許多企業都將自動化作為應對補丁挑戰的一種方式。45%的受訪者表示,他們可以通過自動執行補丁管理流程來縮短補丁時間。70%的人說,如果法律迫使公司對數據泄露負責,他們將實施更好的補丁管理流程。
三、法規推動漏洞管理程序的部署
大多數據安全法規,例如PCI DSS和HIPAA,都要求合規實體具備漏洞管理程序。毫不奇怪,根據SANS研究所的調查,有84%的企業建立了漏洞管理程序,其中大約55%的已經制定了正式的漏洞管理計劃。另有15%的企業表示計劃在未來12個月內實施漏洞管理程序。
該調查還發現,大多數實施了漏洞管理程序的企業都使用風險評級指標來確定安全漏洞的嚴重性。三分之一的受訪者表示,他們已經制定了正式的風險評估程序,而將近19%的受訪者已制定了非正式的評估風險程序。根據調查,用于漏洞風險評級的一些最常見指標包括CVSS嚴重性評分、業務資產的重要性、來自威脅情報源的評分以及供應商嚴重性評級。
四、企業漏洞預防、檢測和修補的成本正在上升
2019年,企業平均每周花費139小時監控系統的漏洞和威脅,每周花費206小時來修補應用程序和系統。相比2018年的時間成本(127小時監控、153小時修復),尤其是漏洞修補的時間成本有較大幅度增長。根據ServiceNow/Ponemon的調查,今年企業將在與漏洞和補丁相關的任務上平均花費23,000多個小時。
調查發現,2019年企業用于預防、檢測、修補、記錄和報告的漏洞管理工作平均每周費用為27688美元,與修補程序相關的停機時間損失每年約144萬美元,后者比2018年的116萬美元高出約24.4%。
五、漏洞管理掃描頻率與響應時間
根據Veracode的研究,與掃描頻率較低的企業相比,掃描頻率較高的企業在補救漏洞方面往往要快得多。該安全供應商發現,每天掃描其代碼的軟件開發組織所需的漏洞修補中位時間僅為19天,而每月掃描一次或更少時間的軟件開發組織則為68天。
據Veracode稱,所有應用程序中,約有一半軟件出現了老舊和未解決的漏洞(也稱安全債),因為開發團隊往往首先關注于更新的漏洞。這種趨勢正在增加組織的數據泄露風險。Veracode表示:“掃描頻率最高的前1%應用程序所承擔的安全債比最低的三分之一低大約五倍。”
數據表明,頻繁掃描不僅可以幫助公司更快發現漏洞,還可以幫助他們大大降低網絡風險。但是,根據安全牛《2020高效漏洞管理現狀與趨勢報告》,掃描頻率并非越高越好,而是應該與其他漏洞管理流程環節的節奏相匹配,例如,你的漏洞修復節奏是每月一次,那么每天掃描也無助于改善結果。理想的狀態是掃描頻率與修復節奏同步,而且在變更時能夠自動執行掃描。
六、“打補丁”周期少于一周
根據Tripwire的一項針對340位信息安全專業人員的調查,已經有9%的企業在獲得安全補丁后立即部署了該補丁,49%的企業能在7天內完成補丁安裝。有16%的企業表示他們在不到兩周的時間內就部署了補丁程序,19%的企業表示花了長達一個月的時間,而6%的企業在三個月內安裝了補丁程序。
Tripwire調查顯示,多達40%的企業每月修補的漏洞少于10個,29%的企業每月修補10-50個漏洞。9%的企業表示他們每月修補50至100個漏洞,而有6%的企業每月修補的漏洞數量超過100個。令人驚訝的是,有15%的企業表示他們不知道自己每月修補了多少個安全漏洞。
七、多種因素導致補丁延遲
盡管大多數安全企業都了解及時修補漏洞的重要性,但由于各種原因,該過程可能會延遲。在Ponemon的調查中,大多數(76%)的受訪者表示,原因之一是IT和安全團隊之間對應用程序和資產缺乏統一的看法。幾乎相同的比例(74%)受訪者表示,由于擔心導致關鍵應用程序和系統停機,他們的修補過程經常被延遲。對于72%的用戶,補丁優先級是導致延遲的主要問題。人員配備是另一個原因,只有64%的受訪者表示他們有足夠的人手及時部署補丁。
調查顯示,IT運營團隊負責修補大多數漏洞(31%),安全運營團隊負責組織中26%的漏洞修補任務,而CISO團隊為17%,計算機安全事件響應團隊(CSIRT)負責12%的企業漏洞修復工作。
八、對補丁延誤的容忍度在降低
在軟件中發現安全漏洞后,大多數企業都希望開發人員能夠迅速采取行動來解決問題。Tripwire的調查顯示,當受訪者被問及他們認為在漏洞發現與補丁發布之間可接受的時間范圍時,有18%的人表示不接受任何等待。大約一半(48%)的人表示,他們愿意給開發者7天的時間來發布補丁,而16%的人接受在兩周的時間內發布補丁程序。令人驚訝的是,有17%的人表示,如果需要,他們可以接受花費六個月時間等待補丁程序。
調查顯示,企業普遍期望軟件開發人員即使在產品到期后仍會繼續發布產品補丁。36%的人表示,他們希望開發人員在產品生命周期結束后的一到兩年內發布補丁,而15%的人希望產品在三到五年內得到支持。有趣的是,有11%的人表示可以接受供應商在產品到期時立即停止所有補丁程序支持。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
