风险型网络安全初创公司KennaSecurityinc让InfoSec团队更快地识别和纠正漏洞。在该公司的最新研究中发现,Windows系统发现的漏洞数量大约是Mac的四倍,但Windows系统修补漏洞的速度比Mac快得多。漏洞管理公司委托CyentiaResearchInstitute分析了450个组织的900万资产的数据,并撰写了一份报告-《Prioritization to Prediction Volume 5: In Search of Assets at Risk》。结果表明,漏洞较少的资产制造商修补速度往往较慢,而漏洞较多的资产修复速度较快。例如,它平均每月为基于Windows的资产发现119个漏洞:四倍于MacOSX中发现的漏洞中位数(32)和30倍于网络设备中发现的漏洞中位数(4)。然而,这些Windows漏洞平均在36天内得到修补,而其他网络设备平均需要一年(369天)。据计算,Apple平均需要70天才能为MacOSX计算机发布补丁,是Microsoft的两倍,而Linux/Unix则为254天。Microsoft的关键补丁率为83%,其次是MacOSX(79%),其次是网络设备/设备(64%),最后是Linux(63%)。研究人员在Microsoft计算机上发现了2.15亿个错误。虽然已经修补了1.79亿个漏洞,但剩余的360百万个漏洞超过了Mac、Linux、Unix和网络设备上已修补和未修补漏洞的总数。CyentiaInstitute的合伙人兼创始人WadeBaker表示:“通过自动修补和补丁星期二,微软能够以惊人的速度修复其系统上的关键漏洞,但仍然存在很多漏洞。”通过自动补丁和二次补丁,微软能够非常快速地修复其系统上的关键漏洞,但仍然存在很多漏洞。“另一方面,我们看到许多资产,例如路由器和打印机,具有更长的高风险漏洞周期。公司需要围绕这些权衡调整其风险承受能力、政策和漏洞管理功能。“为了更好地解决在补丁管理方面,组织应牢记报告中的以下发现:存在许多已发布的漏洞。存在大量可能对组织和消费者构成风险的漏洞。已经在国家漏洞数据库(NVD)中发布了超过130,000个,还有更多的漏洞尚未得到官方认可。仅从数量上就可以清楚地看出为什么有这么多漏洞管理程序被淹没。随着2017年CNA流程的扩展,新的CVE条目率增加了两倍。虽然这种增长呈指数级增长,但这更多是对CVE流程的衡量,而不是随着时间的推移对软件和硬件的固有安全性的关注。修复漏洞也将花费大量时间。每天加班还不足以解决130,000个漏洞,但要在真实环境中修复它,就变得更加复杂。这不仅仅是修复错误的问题,而是发现并修复受每个漏洞影响的问题的问题。影响结果的过程。由于受影响的系统如此之多,补救安全漏洞可能是一个复杂而漫长的过程。大约45%的漏洞在第一个月得到修复,66%的漏洞在三个月内得到修复,但只有不到20%的漏洞可以保留一年以上。组织无法修复所有漏洞。考虑到影响基础设施的漏洞数量和修复它们所需的时间,公司无法持续监控所有漏洞。补救措施有序进行也就不足为奇了。并非所有漏洞都需要立即修复。漏洞管理似乎是一项无望的冒险,但数据中肯定有希望的迹象。企业无法解决所有问题,但事实是他们不需要这样做。许多漏洞会影响大多数企业网络当前未使用的技术。虽然新漏洞确实会定期出现,但大多数公司也可以安全地降低没有已知漏洞的漏洞的优先级。当你无法解决所有问题时,解决最重要的问题很关键。公司可以修复所有高风险漏洞。这里有两个关键事实:1)公司无法修复所有漏洞;2)只有一小部分漏洞具有已知的漏洞。因此,从理论上讲,假设激光聚焦,组织可能能够修复其环境中的所有高风险漏洞。他们甚至可能有空间修复尚未被利用但可能在未来被利用的漏洞。在所研究的数百家公司中,超过一半的公司减少了其环境中的高风险漏洞数量,而16%的公司坚持了下来。这意味着三分之二的组织已成功管理现实世界的漏洞风险。
