未打补丁的漏洞仍然是许多公司的主要安全问题。组织在实施有效的漏洞和补丁管理方面面临越来越大的压力:在最近的数据泄露事件中,攻击者表现出利用未打补丁的软件缺陷来访问关键企业应用程序和系统的倾向。即使是相对较旧且很久以前修复的漏洞仍在被利用。永恒之蓝就是这样一个例子。这是针对微软服务器消息块(SMB)协议漏洞的利用,该协议由美国国家安全局(NSA)开发,后来被泄露。尽管微软早在2017年初就修补了远程代码执行漏洞,但截至今年6月,仍有近100万个系统未修补,其中仅美国就有40万个。攻击者积极利用此漏洞来传播银行木马和其他恶意软件。云迁移和企业移动性等数字化转型举措和趋势也极大地扩大了企业的攻击面,进一步强调了巩固漏洞预防、检测和缓解策略的重要性。DevOps、持续集成与交付(CI/CD)等近年来兴起的应用开发与交付模式,也着重于在软件开发生命周期中尽早集成漏洞扫描与修复。希望实施正式漏洞和补丁管理计划的组织需要关注八个关键趋势。1.大量数据泄露涉及未修复的漏洞今年60%的企业数据泄露涉及未修复的安全漏洞。PonemonInstitute最近委托ServiceNow对3,000家企业进行了调查。结果显示,与2018年相比,由于错误修复延迟,今年的业务停机时间增加了30%。组织没有尽快修补漏洞的原因有很多:没有意识到潜在的数据泄露漏洞、孤岛和派系、缺乏资源,以及对应用程序和资产缺乏共识。报告指出,受访者还报告说,“攻击者正在利用机器学习/人工智能等技术接管公司”。2.漏洞管理压力推动员工招聘近70%的受访公司表示,他们计划在来年聘用至少五名专门负责漏洞管理的员工。组织在漏洞管理人员方面的预期平均年度支出:650,000美元。除了增加人员配备,许多企业还转向自动化以应对漏洞修复挑战。45%的受访者表示,可以通过自动化补丁管理流程来缩短补救时间。70%的受访者表示,如果负责数据泄露的律师事务所要求,将实施更好的补丁管理流程。3.法规激发漏洞管理计划的部署大多数数据安全法规,如PCIDSS和HIPAA,都要求受监管的实体制定漏洞管理计划。毫不奇怪,在SANSInstituteforBromium委托进行的一项调查中,84%的受访企业表示已制定计划。其中约55%的人报告说他们有正式的漏洞管理计划,而其余人则称他们的计划是非正式的。大约15%的人表示他们计划在来年实施漏洞管理计划。调查还发现,大多数拥有漏洞管理计划的组织都使用风险评分流程来确定安全漏洞的严重程度。其中,三分之一的人表示有正式的风险评分流程,近19%的人表示风险评估流程是非正式的。调查显示,用于风险评分的几个常见因素包括CVSS严重性、商业资产关键性、威胁情报源评分和供应商严重性评分。4.预防、检测和修复漏洞的成本越来越高。今年,公司和其他组织平均每周花费139小时监控系统漏洞和威胁,平均每周花费206小时修复应用程序和系统;去年这两个值分别是127小时和153小时。ServiceNow/PonemonResearch的这项研究表明,组织今年每周将花费23,000多个小时用于错误和补救。调查发现,组织平均每周花费27,688美元,即每年144万美元,用于预防、检测、补救、记录和报告补丁管理流程以及补救导致的停机时间。这比2018年的116万企业支出今年高出24.4%。5.漏洞扫描频率影响响应时间根据DevOps安全测试公司Veracode的研究,扫描应用程序更频繁的公司修复漏洞的速度比扫描的公司快得多不太频繁。该安全供应商发现,每天扫描代码的软件开发公司修复漏洞的中位数为19天,而每月扫描一次或更少的公司则为68天。根据Veracode的说法,大约一半的应用程序在其软件中积累了旧的和未解决的漏洞或安全债务,因为开发团队倾向于首先关注较新的漏洞。这种趋势增加了公司数据泄露的风险。Veracode声称,扫描次数最少的1/3应用程序的安全性是扫描次数最多的1%应用程序的五倍。数据显示,频繁扫描不仅可以帮助企业发现遗漏,还可以显着降低网络风险。Veracode说:组织必须在解决新问题的同时清理旧问题。6.大多数公司需要不到一周的时间来部署补丁Tripwire资助的一项针对340名信息安全专业人员的研究发现,9%的组织在安全补丁可用后立即部署,49%的组织在7天内部署。其余的企业安全补丁部署需要两周到一年多的时间。例如,16%的受访组织表示在两周内部署了补丁,19%在一个月内部署,6%在三个月内部署。安全供应商Tripwire调查的大多数(40%)组织每月修补少于10个漏洞,其中29%在同一时间段内部署10到50个补丁。然而,相对较少的企业似乎在30天内修补了更多的漏洞。例如,9%的受访组织报告每月修复50到100个漏洞,6%的组织报告超过100个漏洞。另有15%的人表示,他们根本不知道他们的公司每月修复了多少安全漏洞。7.多种因素减慢补救虽然大多数安全公司都了解立即补救的重要性,但由于多种原因阻碍了这一过程。ServiceNow/PonemonInstitute调查的受访者中有76%将IT和安全团队之间对应用程序和资产缺乏共同理解列为一个原因。几乎相同百分比(74%)的受访者表示,由于担心关键应用程序和系统脱机,他们公司的漏洞修复过程经常被延迟。对于72%的公司来说,补丁优先级是一个主要问题。人员配置是另一个原因,只有64%的受访者表示他们有足够的人员及时部署补丁。调查显示,大多数(31%)的公司都有负责补丁部署的IT运营团队。26%的公司有安全运营团队负责此事,17%的公司有CISO团队。12%的组织拥有负责补丁部署的计算机安全事件响应团队(CSIRT)。8.大多数公司希望快速获得补丁当发现软件安全漏洞时,大多数公司都希望开发人员尽快修复问题。当被问及漏洞发现和补丁发布之间可接受的时间范围时,18%的Tripwire调查受访者表示无需等待是可以接受的。大约一半(48%)表示他们愿意给开发人员7天的时间来发布补丁,16%的人表示两周时间是可以接受的。令人意外的是,有17%的受访者表示,如果有需要,去上半年也是可以的。Tripwire的调查显示,大多数公司都希望软件开发人员不断发布产品补丁——即使产品已过使用寿命。36%的人希望开发人员在到期后一到两年内仍会发布补丁,15%的人希望产品在三到五年内继续受到支持。有趣的是,11%的受访者表示,当产品过期时,供应商可以立即停止所有补丁支持。Bromium调查报告:https://www.bromium.com/wp-content/uploads/2019/04/Survey_Vulnerability-2019_Bromium.pdfTripwire调查报告:https://www.tripwire.com/state-of-security/wp-content/uploads/sites/3/Tripwire-Dimensional-Research-VM-Survey.pdf【本文为专栏作者“李少鹏”原创文章,转载请通过安全牛获取授权(微信公众号id:gooann-sectv)】点此查看作者更多好文
