未修复的IT系统漏洞就像是对恶意攻击者敞开的大门。安全团队必须快速找到并关闭那些敞开的大门,以确保其企业信息系统和应用程序的安全。然而,发现未知漏洞是一项挑战,有效管理和快速响应已知漏洞又是另一项挑战。做好漏洞管理的前提是发现风险。没有基于风险的漏洞管理方法,企业将无法面对日益增长的漏洞威胁。为了更好地了解企业漏洞管理现状,安全服务公司NopSec近日对426名企业安全管理人员进行了专项调查。报告发现,70%的受访者表示对目前的漏洞管理计划(VMP)不满意。满意的是,34%的受访者甚至认为他们的公司目前没有明确的漏洞管理计划,存在严重的安全威胁。研究发现,围绕可利用性和关键性确定安全风险的优先级是漏洞管理的首要目标。其他关键目标包括未知漏洞识别和企业外部攻击面管理;影子IT将是未来企业漏洞管理的主要挑战,这将严重降低企业对所有安全风险的可见性。缺乏专业的安全人员来修复漏洞是另一个主要挑战;威胁情报在漏洞管理中未得到充分利用,53%的受访者表示他们的组织尚未使用第三方威胁情报,例如渗透测试、漏洞披露以及IP或域信誉评分;当前的错误需要很长时间才能修补。只有18%的受访者表示漏洞会在发现后24小时内修复,62%的受访者表示修复已知的严重漏洞需要超过48小时或更长时间;时代更复杂。超过一半的受访者表示,他们能感觉到攻击的复杂性在增加。漏洞管理现状调查1.企业实施漏洞管理计划(VMP)的目标是什么?调查显示,当被问及“您认为您希望通过漏洞管理计划(VMP)实现的最高目标是什么?”时,34.9%的受访者认为最高目标是“根据漏洞修复方案确定其漏洞修复方案”。它给组织带来的风险。和缓解措施”,而漏洞的可利用性和暴露资产的重要性将是用于确定其优先级的标准。【我希望通过漏洞管理计划(VMP)达到的最高目标】2.公司当前的漏洞管理计划效果如何?当被问及他们“对当前漏洞管理计划的整体有效性的印象”时,70%的受访者表示他们的VMP只是有些或不太有效,34%的受访者表示无效。不到三分之一(30.1%)的受访者表示拥有非常有效的VMP。【当前漏洞管理方案的整体有效性】3.影响漏洞管理方案有效性的主要因素有哪些?对回答“拥有非常有效的VMP”的组织进行调查后发现,影响VMP有效性的首要因素(43%)是其组织内了解漏洞管理的人才。这些组织通常制定了吸引和留住顶尖网络安全人才的战略,但鉴于安全行业正在经历的巨大技能差距,这种反应也表明需要更自动化的漏洞管理解决方案。【影响VMP有效性的关键因素】4.漏洞管理面临哪些挑战?调查发现,“影子IT限制了风险暴露的可见性”是受访者认为漏洞安全管理面临的最大挑战。此外,16.2%的受访者认为“缺乏训练有素的漏洞修复人员”也给漏洞管理带来了很多困难。13.9%的受访者认为很难得到公司管理层的支持来开展正常的漏洞扫描和发现工作。【漏洞管理面临的主要挑战】5、企业最常用的漏洞扫描方式是什么?那么,安全团队目前正在执行哪些类型的漏洞扫描?结果几乎平分秋色,受访者表示他们扫描最多的是服务器、应用程序和代码(各占34%)。另有33.8%是物联网和OT设备;33.5%为云资产;33.3%为网络基础设备(如路由器、交换机等);32.1%是台式机/笔记本电脑。【漏洞扫描类型分布】6、企业在漏洞管理中会使用第三方威胁情报吗?当受访者被问及“他们是否利用第三方供应商获取威胁情报数据”时,令人惊讶的结果是,52.8%的组织表示他们没有从外部来源获取有关漏洞威胁的信息。【第三方威胁情报应用情况调查】7、企业是否评估漏洞的风险优先级?57.5%的受访者表示他们的公司没有使用基于风险的评级系统来确定漏洞的优先级。因此,可以认为大部分公司还是采用“先识别,先修复”的方式修复漏洞。对于那些评估漏洞风险级别的组织,他们依赖的评估工具包括:52.4%用于CVSS分数;资产重要性为40.8%;39.2%用于补偿控制;38.1%用于威胁情报源。【漏洞风险等级评估工具】8、公司对漏洞修复的时机是否有明确要求?单个漏洞在网络或应用程序中存在的时间通常取决于漏洞带来的风险。只有28.2%的受访者表示他们的组织有标准化的服务水平协议(SLA),其中规定了修复漏洞的速度。然而,值得注意的是,不使用基于风险的优先级排序方案的组织将难以构建有意义的SLA。在明确漏洞修复速度的企业中,20.4%的企业表示要求在发现严重漏洞后48小时内修复;15.9%的企业在72小时内修好;16.2%的公司1周内修复;15.9%的企业在2周内修复。只有17.8%的企业表示这些CVSS评分为9.0及以上的高危漏洞需要在发现后24小时内修复。【漏洞修复时间】9、漏洞数量增长趋势如何?该报告的研究发现,在过去12个月中,58%的跟踪漏洞数量的公司报告说漏洞数量增加了一倍、三倍或四倍。其中,17.3%报翻倍;21.8%的报告增加了两倍;19.3%的人报告翻了两番。只有22.2%的人报告漏洞数量没有增加,19.6%的人报告观察到的漏洞数量减少。尽管漏洞增多且攻击复杂化,但大多数组织仍然不对漏洞进行风险评估,不依赖外部威胁情报,也不规定必须以多快的速度修补漏洞。对于面临日益严峻的威胁形势的现代组织而言,这一切都不是可持续的。【近一年跟踪漏洞数量变化】10、企业最关心的漏洞管理问题是什么?16.9%的受访者表示他们的企业将购买新工具或升级现有的漏洞评估工具;14.7%的受访者表示需要提高企业安全风险的可见性,以实现100%的本地和云端在线资产漏洞扫描覆盖;14.5%的受访者表示漏洞管理系统中的沟通和报告流程需要改进;13.6%的受访者表示应聘用更多受过漏洞管理培训的员工;13.3%应实施基线安全配置并扫描合规性;12.4%的受访者表示会增加模拟攻击的功能。【来年企业漏洞管理重点工作】11、企业漏洞管理预算有何变化?当被问及他们组织的漏洞管理预算在未来12个月内将如何变化时,参与制定预算相关决策的人中有36.6%的人预计预算会增加,34%的人预计预算会持平,29.3%的人预计预算会缩减。【来年漏洞管理预算变化】24.4%的受访者预计漏洞管理预算将呈现26%至50%的适度增长,仅有21.7%预计低于这一水平(25%及以下).此外,17.3%的人乐观地认为预算将增加51%-75%;20.8%认为预算会增加76%-100%;甚至有15.7%的人预计预算会增加100%或更多。【来年企业漏洞管理预算增长率】参考链接:https://www.nopsec.com/wp-content/uploads/2022/06/NopSec-State-of-Vulnerability-Management-Report-2022.pdf
