大量数据和案例表明,虽然漏洞评估和管理工具不断丰富,但是漏洞管理重在“管理”,企业的漏洞管理或脆弱性风险相关管理依然存在很大的改进空间,例如,人才资金匮乏、缺乏对漏洞风险和受影响资产的感知能力、企业孤岛和部门战争、漏洞修复效率低下等。与此同时,漏洞风险正随着攻击技术的快速升级而增加,例如攻击者在利用机器学习/人工智能技术方面已经超越了防御者。
以下,我们汇总归纳了2020年的全球八大漏洞管理趋势:
一、数据泄露大多与漏洞未修补有关
虽然网络安全工具和方法日新月异,但漏洞管理始终是企业网络安全的致命环节,近年来60%的企业数据泄露与安全漏洞未得到修补有关。根据Ponemon Institute对近3,000个组织进行的最新调查显示,与2018年相比,2019年未能及时修补漏洞导致的停机给企业造成的损失增加了30%。
二、招兵买马+流程自动化
根据ServiceNow/Ponemon的调查,70%的企业表示,他们计划在2020年雇用至少五名员工来进行漏洞管理。对于这些员工,企业的预期平均年成本为:650,000美元。
除了增加人员外,许多企业都将自动化作为应对补丁挑战的一种方式。45%的受访者表示,他们可以通过自动执行补丁管理流程来缩短补丁时间。70%的人说,如果法律迫使公司对数据泄露负责,他们将实施更好的补丁管理流程。
三、法规推动漏洞管理程序的部署
大多数据安全法规,例如PCI DSS和HIPAA,都要求合规实体具备漏洞管理程序。毫不奇怪,根据SANS研究所的调查,有84%的企业建立了漏洞管理程序,其中大约55%的已经制定了正式的漏洞管理计划。另有15%的企业表示计划在未来12个月内实施漏洞管理程序。
该调查还发现,大多数实施了漏洞管理程序的企业都使用风险评级指标来确定安全漏洞的严重性。三分之一的受访者表示,他们已经制定了正式的风险评估程序,而将近19%的受访者已制定了非正式的评估风险程序。根据调查,用于漏洞风险评级的一些最常见指标包括CVSS严重性评分、业务资产的重要性、来自威胁情报源的评分以及供应商严重性评级。
四、企业漏洞预防、检测和修补的成本正在上升
2019年,企业平均每周花费139小时监控系统的漏洞和威胁,每周花费206小时来修补应用程序和系统。相比2018年的时间成本(127小时监控、153小时修复),尤其是漏洞修补的时间成本有较大幅度增长。根据ServiceNow/Ponemon的调查,今年企业将在与漏洞和补丁相关的任务上平均花费23,000多个小时。
调查发现,2019年企业用于预防、检测、修补、记录和报告的漏洞管理工作平均每周费用为27688美元,与修补程序相关的停机时间损失每年约144万美元,后者比2018年的116万美元高出约24.4%。
五、漏洞管理扫描频率与响应时间
根据Veracode的研究,与扫描频率较低的企业相比,扫描频率较高的企业在补救漏洞方面往往要快得多。该安全供应商发现,每天扫描其代码的软件开发组织所需的漏洞修补中位时间仅为19天,而每月扫描一次或更少时间的软件开发组织则为68天。
据Veracode称,所有应用程序中,约有一半软件出现了老旧和未解决的漏洞(也称安全债),因为开发团队往往首先关注于更新的漏洞。这种趋势正在增加组织的数据泄露风险。Veracode表示:“扫描频率最高的前1%应用程序所承担的安全债比最低的三分之一低大约五倍。”
数据表明,频繁扫描不仅可以帮助公司更快发现漏洞,还可以帮助他们大大降低网络风险。但是,根据安全牛《2020高效漏洞管理现状与趋势报告》,扫描频率并非越高越好,而是应该与其他漏洞管理流程环节的节奏相匹配,例如,你的漏洞修复节奏是每月一次,那么每天扫描也无助于改善结果。理想的状态是扫描频率与修复节奏同步,而且在变更时能够自动执行扫描。
六、“打补丁”周期少于一周
根据Tripwire的一项针对340位信息安全专业人员的调查,已经有9%的企业在获得安全补丁后立即部署了该补丁,49%的企业能在7天内完成补丁安装。有16%的企业表示他们在不到两周的时间内就部署了补丁程序,19%的企业表示花了长达一个月的时间,而6%的企业在三个月内安装了补丁程序。
Tripwire调查显示,多达40%的企业每月修补的漏洞少于10个,29%的企业每月修补10-50个漏洞。9%的企业表示他们每月修补50至100个漏洞,而有6%的企业每月修补的漏洞数量超过100个。令人惊讶的是,有15%的企业表示他们不知道自己每月修补了多少个安全漏洞。
七、多种因素导致补丁延迟
尽管大多数安全企业都了解及时修补漏洞的重要性,但由于各种原因,该过程可能会延迟。在Ponemon的调查中,大多数(76%)的受访者表示,原因之一是IT和安全团队之间对应用程序和资产缺乏统一的看法。几乎相同的比例(74%)受访者表示,由于担心导致关键应用程序和系统停机,他们的修补过程经常被延迟。对于72%的用户,补丁优先级是导致延迟的主要问题。人员配备是另一个原因,只有64%的受访者表示他们有足够的人手及时部署补丁。
调查显示,IT运营团队负责修补大多数漏洞(31%),安全运营团队负责组织中26%的漏洞修补任务,而CISO团队为17%,计算机安全事件响应团队(CSIRT)负责12%的企业漏洞修复工作。
八、对补丁延误的容忍度在降低
在软件中发现安全漏洞后,大多数企业都希望开发人员能够迅速采取行动来解决问题。Tripwire的调查显示,当受访者被问及他们认为在漏洞发现与补丁发布之间可接受的时间范围时,有18%的人表示不接受任何等待。大约一半(48%)的人表示,他们愿意给开发者7天的时间来发布补丁,而16%的人接受在两周的时间内发布补丁程序。令人惊讶的是,有17%的人表示,如果需要,他们可以接受花费六个月时间等待补丁程序。
调查显示,企业普遍期望软件开发人员即使在产品到期后仍会继续发布产品补丁。36%的人表示,他们希望开发人员在产品生命周期结束后的一到两年内发布补丁,而15%的人希望产品在三到五年内得到支持。有趣的是,有11%的人表示可以接受供应商在产品到期时立即停止所有补丁程序支持。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看该作者更多好文