大量数据和案例表明,虽然漏洞评估和管理工具不断丰富,但漏洞管理重在“管”,漏洞管理或漏洞仍有很大提升空间企业风险相关管理。例如,人才缺乏资金投入、对漏洞风险和受影响资产的认识不足、企业孤岛和部门战争、漏洞修复效率低下等。同时,随着攻击技术的快速升级,漏洞风险也在增加,例如攻击者在利用机器学习/人工智能技术方面超过防御者。下面,我们总结了2020年全球漏洞管理的八大趋势:1.数据泄露主要与未修复的漏洞有关。尽管网络安全工具和方法日新月异,但漏洞管理一直是企业网络安全的致命一环。近年来,60%的企业数据泄露与未修补的安全漏洞有关。根据PonemonInstitute对近3,000家组织进行的最新调查,2019年因未修补漏洞导致的停机成本比2018年高出30%。2.招聘+流程自动化根据ServiceNow/Ponemon调查,70%的企业表示他们计划在2020年雇用至少五名员工进行漏洞管理。对于这些员工,企业的预期平均年成本为:650,000美元。除了增加员工外,许多企业还转向自动化,以此作为应对补丁挑战的一种方式。45%的受访者表示,他们可以通过自动化补丁管理流程来减少补丁时间。70%的受访者表示,如果法律强制公司对数据泄露负责,他们将实施更好的补丁管理流程。3.法规推动漏洞管理计划的部署大多数数据安全法规,如PCIDSS和HIPAA,都要求合规实体拥有漏洞管理计划。毫不奇怪,根据SANSInstitute的调查,84%的组织已经制定了漏洞管理计划,其中大约55%已经制定了正式的漏洞管理计划。另有15%的人表示他们计划在未来12个月内实施漏洞管理计划。调查还发现,大多数实施了漏洞管理计划的组织都使用风险评级指标来确定安全漏洞的严重程度。三分之一的受访者表示他们有正式的风险评估程序,而近19%的人有非正式的风险评估程序。根据调查,用于漏洞风险评级的一些最常见指标包括CVSS严重性评分、业务资产的关键性、威胁情报源的评分和供应商严重性评级。4、企业漏洞预防、检测和修复成本上升。2019年,企业平均每周花费139小时监控系统漏洞和威胁,每周花费206小时修补应用程序和系统。与2018年的时间成本(监控127小时,修复153小时)相比,尤其是漏洞修补的时间成本大幅增加。根据ServiceNow/Ponemon的调查,今年企业将平均花费23,000多个小时来处理与漏洞和补丁相关的任务。调查发现,2019年用于预防、检测、修复、记录和报告的漏洞管理的平均每周成本为27,688美元,与补丁相关的停机时间的年度成本约为144万美元,高于2018年的116亿美元高出约24.4%。五、漏洞管理扫描频率和响应时间根据Veracode的研究,与扫描频率低的企业相比,扫描频率高的企业修复漏洞的速度往往要快得多。该安全供应商发现,每天扫描代码的软件开发组织修补漏洞的平均时间为19天,而每月扫描一次或更少代码的软件开发组织则为68天。根据Veracode的说法,大约一半的应用程序都有旧的和未解决的漏洞(也称为安全债务),因为开发团队倾向于首先关注较新的漏洞。这种趋势增加了组织数据泄露的风险。根据Veracode的说法,“扫描最频繁的前1%的应用程序的安全债务比后三分之一的应用程序少大约五倍。”数据显示,频繁的扫描不仅可以帮助企业更快地发现漏洞,还可以帮助他们大大降低网络风险。不过按照安全牛《2020高效漏洞管理现状与趋势报告》的说法,扫描的频率并不是越高越好,而是应该配合其他漏洞管理流程环节的节奏。比如你的漏洞修复节奏是一个月一次,天天扫描也无济于事。改善结果。理想情况下,扫描频率与修复节奏同步,并在发生变化时自动执行扫描。6、“打补丁”周期不到一周。Tripwire对340名信息安全从业者的调查显示,9%的企业在获得安全补丁后立即部署,49%的企业7天内即可部署。完成补丁安装。16%的组织表示他们在不到两周的时间内部署了补丁,19%的组织表示最多需要一个月,而6%的组织在三个月内安装了补丁。根据Tripwire调查,多达40%的企业每月修补少于10个漏洞,29%的企业每月修补10-50个漏洞。9%的组织表示他们每月修补50到100个漏洞,而6%的组织每月修补100多个漏洞。惊人的15%的企业表示,他们不知道每个月修补了多少个安全漏洞。7.由于多种因素造成的补丁延迟虽然大多数安全组织都明白及时修补漏洞的重要性,但这个过程可能会因各种原因而延迟。Ponemon调查的大多数(76%)受访者表示,原因之一是IT和安全团队之间缺乏应用程序和资产的统一视图。几乎相同比例(74%)的受访者表示,由于担心关键应用程序和系统停机,他们的修补过程经常被延迟。对于72%的用户,补丁优先级是导致延迟的主要问题。人员配置是另一个原因,只有64%的受访者表示他们有足够的人员及时部署补丁。根据调查,IT运营团队负责修补大部分漏洞(31%),安全运营团队负责组织中26%的漏洞修补任务,而CISO团队为17%,计算机安全事件响应团队(CSIRT)负责12%的企业漏洞修复工作。8.降低对补丁延迟的容忍度在发现软件中的安全漏洞后,大多数企业都希望开发人员迅速采取行动解决问题。根据Tripwire调查,当受访者被问及他们认为在漏洞发现和补丁发布之间可接受的时间范围时,18%的人表示没有等待是可以接受的。大约一半(48%)表示他们愿意给开发人员7天的时间来发布补丁,而16%的人接受两周的时间来发布补丁。令人惊讶的是,17%的人表示,如果需要,他们可以花六个月的时间等待补丁。调查显示,企业普遍希望软件开发商在产品过期后继续发布产品补丁。36%的人表示他们希望开发人员在产品生命周期结束后的一到两年内发布补丁,而15%的人希望产品在三到五年内得到支持。有趣的是,11%的受访者表示,供应商可以在产品过期时立即停止所有补丁支持。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
