漏洞管理的八大趨勢
大量資料和案例表明,雖然漏洞評估和管理工具不斷豐富,但是漏洞管理重在“管理”,企業的漏洞管理或脆弱性風險相關管理依然存在很大的改進空間,例如,人才資金匱乏、缺乏對漏洞風險和受影響資產的感知能力、企業孤島和部門戰爭、漏洞修復效率低下等。與此同時,漏洞風險正隨著攻擊技術的快速升級而增加,例如攻擊者在利用機器學習/人工智慧技術方面已經超越了防禦者。
以下,我們彙總歸納了2020年的全球八大漏洞管理趨勢:
一、資料洩露大多與漏洞未修補有關
雖然網路安全工具和方法日新月異,但漏洞管理始終是企業網路安全的致命環節,近年來60%的企業資料洩露與安全漏洞未得到修補有關。根據Ponemon Institute對近3,000個組織進行的最新調查顯示,與2018年相比,2019年未能及時修補漏洞導致的停機給企業造成的損失增加了30%。
二、招兵買馬 流程自動化
根據ServiceNow/Ponemon的調查,70%的企業表示,他們計劃在2020年僱用至少五名員工來進行漏洞管理。對於這些員工,企業的預期平均年成本為:650,000美元。
除了增加人員外,許多企業都將自動化作為應對補丁挑戰的一種方式。45%的受訪者表示,他們可以透過自動執行補丁管理流程來縮短補丁時間。70%的人說,如果法律迫使公司對資料洩露負責,他們將實施更好的補丁管理流程。
三、法規推動漏洞管理程式的部署
大多資料安全法規,例如PCI DSS和HIPAA,都要求合規實體具備漏洞管理程式。毫不奇怪,根據SANS研究所的調查,有84%的企業建立了漏洞管理程式,其中大約55%的已經制定了正式的漏洞管理計劃。另有15%的企業表示計劃在未來12個月內實施漏洞管理程式。
該調查還發現,大多數實施了漏洞管理程式的企業都使用風險評級指標來確定安全漏洞的嚴重性。三分之一的受訪者表示,他們已經制定了正式的風險評估程式,而將近19%的受訪者已制定了非正式的評估風險程式。根據調查,用於漏洞風險評級的一些最常見指標包括CVSS嚴重性評分、業務資產的重要性、來自威脅情報源的評分以及供應商嚴重性評級。
四、企業漏洞預防、檢測和修補的成本正在上升
2019年,企業平均每週花費139小時監控系統的漏洞和威脅,每週花費206小時來修補應用程式和系統。相比2018年的時間成本(127小時監控、153小時修復),尤其是漏洞修補的時間成本有較大幅度增長。根據ServiceNow/Ponemon的調查,今年企業將在與漏洞和補丁相關的任務上平均花費23,000多個小時。
調查發現,2019年企業用於預防、檢測、修補、記錄和報告的漏洞管理工作平均每週費用為27688美元,與修補程式相關的停機時間損失每年約144萬美元,後者比2018年的116萬美元高出約24.4%。
五、漏洞管理掃描頻率與響應時間
根據Veracode的研究,與掃描頻率較低的企業相比,掃描頻率較高的企業在補救漏洞方面往往要快得多。該安全供應商發現,每天掃描其程式碼的軟體開發組織所需的漏洞修補中位時間僅為19天,而每月掃描一次或更少時間的軟體開發組織則為68天。
據Veracode稱,所有應用程式中,約有一半軟體出現了老舊和未解決的漏洞(也稱安全債),因為開發團隊往往首先關注於更新的漏洞。這種趨勢正在增加組織的資料洩露風險。Veracode表示:“掃描頻率最高的前1%應用程式所承擔的安全債比最低的三分之一低大約五倍。”
資料表明,頻繁掃描不僅可以幫助公司更快發現漏洞,還可以幫助他們大大降低網路風險。但是,根據安全牛《2020高效漏洞管理現狀與趨勢報告》,掃描頻率並非越高越好,而是應該與其他漏洞管理流程環節的節奏相匹配,例如,你的漏洞修復節奏是每月一次,那麼每天掃描也無助於改善結果。理想的狀態是掃描頻率與修復節奏同步,而且在變更時能夠自動執行掃描。
六、“打補丁”週期少於一週
根據Tripwire的一項針對340位資訊保安專業人員的調查,已經有9%的企業在獲得安全補丁後立即部署了該補丁,49%的企業能在7天內完成補丁安裝。有16%的企業表示他們在不到兩週的時間內就部署了補丁程式,19%的企業表示花了長達一個月的時間,而6%的企業在三個月內安裝了補丁程式。
Tripwire調查顯示,多達40%的企業每月修補的漏洞少於10個,29%的企業每月修補10-50個漏洞。9%的企業表示他們每月修補50至100個漏洞,而有6%的企業每月修補的漏洞數量超過100個。令人驚訝的是,有15%的企業表示他們不知道自己每月修補了多少個安全漏洞。
七、多種因素導致補丁延遲
儘管大多數安全企業都瞭解及時修補漏洞的重要性,但由於各種原因,該過程可能會延遲。在Ponemon的調查中,大多數(76%)的受訪者表示,原因之一是IT和安全團隊之間對應用程式和資產缺乏統一的看法。幾乎相同的比例(74%)受訪者表示,由於擔心導致關鍵應用程式和系統停機,他們的修補過程經常被延遲。對於72%的使用者,補丁優先順序是導致延遲的主要問題。人員配備是另一個原因,只有64%的受訪者表示他們有足夠的人手及時部署補丁。
調查顯示,IT運營團隊負責修補大多數漏洞(31%),安全運營團隊負責組織中26%的漏洞修補任務,而CISO團隊為17%,計算機安全事件響應團隊(CSIRT)負責12%的企業漏洞修復工作。
八、對補丁延誤的容忍度在降低
在軟體中發現安全漏洞後,大多數企業都希望開發人員能夠迅速採取行動來解決問題。Tripwire的調查顯示,當受訪者被問及他們認為在漏洞發現與補丁釋出之間可接受的時間範圍時,有18%的人表示不接受任何等待。大約一半(48%)的人表示,他們願意給開發者7天的時間來發布補丁,而16%的人接受在兩週的時間內釋出補丁程式。令人驚訝的是,有17%的人表示,如果需要,他們可以接受花費六個月時間等待補丁程式。
調查顯示,企業普遍期望軟體開發人員即使在產品到期後仍會繼續釋出產品補丁。36%的人表示,他們希望開發人員在產品生命週期結束後的一到兩年內釋出補丁,而15%的人希望產品在三到五年內得到支援。有趣的是,有11%的人表示可以接受供應商在產品到期時立即停止所有補丁程式支援。