信息化觀察網(wǎng)

未修復(fù)漏洞依然是很多公司的主要安全問題。

公司企業(yè)承受著不斷增長的有效漏洞與補(bǔ)丁管理實(shí)現(xiàn)壓力：近期多起數(shù)據(jù)泄露事件中，攻擊者展現(xiàn)出利用未修復(fù)軟件缺陷獲取關(guān)鍵企業(yè)應(yīng)用及系統(tǒng)訪問權(quán)的趨勢。甚至相對較老和很久以前修復(fù)的漏洞都還在被利用。

永恒之藍(lán) (EternalBlue) 就是其中一個(gè)例子。這是針對微軟服務(wù)器消息塊 (SMB) 協(xié)議漏洞的一個(gè)漏洞利用程序，由美國國家安全局 (NSA) 開發(fā)，后遭泄露。盡管微軟早在 2017 年初就修復(fù)了此遠(yuǎn)程代碼執(zhí)行漏洞，直到今年 6 月仍有近 100 萬系統(tǒng)未打補(bǔ)丁——其中僅美國就占了 40 萬臺。攻擊者大肆利用該漏洞投放銀行木馬程序和其他惡意軟件。

云遷移和企業(yè)移動性等數(shù)字化轉(zhuǎn)型倡議與趨勢也大幅擴(kuò)張了企業(yè)攻擊界面，進(jìn)一步強(qiáng)調(diào)了鞏固漏洞預(yù)防、檢測與緩解策略的重要性。近些年興起的 DevOps、持續(xù)集成與交付 (CI/CD)，以及其他應(yīng)用開發(fā)與交付模型，同樣關(guān)注盡量在軟件開發(fā)生命周期早期階段集成漏洞掃描和修復(fù)。

公司企業(yè)若想要實(shí)現(xiàn)正式的漏洞與補(bǔ)丁管理項(xiàng)目，需關(guān)注八個(gè)主要趨勢。

1. 大量數(shù)據(jù)泄露事件涉及未修復(fù)漏洞

本年度企業(yè)數(shù)據(jù)泄露事件中，60% 涉及未打上補(bǔ)丁的安全漏洞。波耐蒙研究所最近受 ServiceNow 委托，針對 3,000 家企業(yè)進(jìn)行了調(diào)查研究。結(jié)果顯示，相比 2018 年，今年由于漏洞修復(fù)延遲而導(dǎo)致的企業(yè)停工增加了 30%。

企業(yè)出于多種原因沒有盡快修復(fù)漏洞：沒意識到潛在可致數(shù)據(jù)泄露的漏洞、各部門各自為戰(zhàn)和派系斗爭、資源缺乏，以及缺乏對應(yīng)用和資產(chǎn)的共識。報(bào)告指出，受訪者還稱 “攻擊者以機(jī)器學(xué)習(xí)/人工智能等技術(shù)超越了公司”。

2. 漏洞管理壓力推動員工聘用

近 70% 的受訪公司稱計(jì)劃在來年雇傭至少五名員工專門負(fù)責(zé)漏洞管理。企業(yè)在漏洞管理人員上的預(yù)期平均年度開支為：65 萬美元。

除了增加人手，很多企業(yè)也在轉(zhuǎn)向運(yùn)用自動化應(yīng)對漏洞修復(fù)挑戰(zhàn)。45% 的受訪者稱可通過自動化補(bǔ)丁管理過程減少修復(fù)耗時(shí)。70% 的受訪者表示，如果負(fù)責(zé)數(shù)據(jù)泄露的律所要求的話，會實(shí)現(xiàn)更好的補(bǔ)丁管理過程。

3. 監(jiān)管激發(fā)漏洞管理項(xiàng)目部署

大多數(shù)數(shù)據(jù)安全監(jiān)管規(guī)定，比如 PCI DSS 和 HIPAA，要求受管轄的實(shí)體設(shè)置漏洞管理項(xiàng)目。毫無意外，SANS 研究所受 Bromium 委托進(jìn)行的一項(xiàng)調(diào)查中，84% 的受訪企業(yè)報(bào)告稱已設(shè)置有相應(yīng)項(xiàng)目。其中約 55% 稱有正式的漏洞管理項(xiàng)目，其他則將自身項(xiàng)目描述為非正式的。約 15% 稱計(jì)劃在來年實(shí)現(xiàn)漏洞管理項(xiàng)目。

該調(diào)查還發(fā)現(xiàn)，大部分設(shè)置有漏洞管理項(xiàng)目的企業(yè)采用風(fēng)險(xiǎn)評分過程確定安全漏洞關(guān)鍵性。其中 1/3 稱有正式的風(fēng)險(xiǎn)評分過程，近 19% 的風(fēng)險(xiǎn)評估過程為非正式的。調(diào)查顯示，用于風(fēng)險(xiǎn)評分的幾個(gè)常見因素包括 CVSS 嚴(yán)重度、商業(yè)資產(chǎn)關(guān)鍵性、威脅情報(bào)饋送得分，以及供應(yīng)商嚴(yán)重度評分。

4. 預(yù)防、檢測和修復(fù)漏洞的成本在增加

本年度，公司企業(yè)和其他組織花費(fèi)在監(jiān)視系統(tǒng)漏洞與威脅上的時(shí)間為平均每周 139 小時(shí)，修復(fù)應(yīng)用及系統(tǒng)的時(shí)間是平均每周 206 小時(shí)；去年這兩個(gè)數(shù)值分別為 127 小時(shí)和 153 小時(shí)。ServiceNow/波耐蒙研究的這份調(diào)查研究表明，從每周耗時(shí)數(shù)字看，組織機(jī)構(gòu)今年耗費(fèi)在漏洞及修復(fù)相關(guān)工作上的時(shí)間將超過 2.3 萬小時(shí)。

調(diào)查發(fā)現(xiàn)，企業(yè)花在預(yù)防、檢測、修復(fù)、記錄和報(bào)告補(bǔ)丁管理過程及修復(fù)所致停工上的開銷為平均每周 27,688 美元，也就是每年 144 萬美元。相比 2018 年的 116 萬企業(yè)開支，這一數(shù)字今年高出了 24.4%。

5. 漏洞掃描頻率影響響應(yīng)時(shí)間

DevOps 安全測試公司 Veracode 的研究顯示，更頻繁掃描應(yīng)用的公司比不那么經(jīng)常掃描的公司在修復(fù)漏洞上要快得多。這家安全供應(yīng)商發(fā)現(xiàn)，每天都掃描自身代碼的軟件開發(fā)公司僅需 19 天的中位時(shí)間就能修復(fù)漏洞，而每個(gè)月掃描次數(shù)在一次及以下的公司，這一時(shí)間是 68 天。

Veracode 透露，約半數(shù)應(yīng)用在其軟件中積累老舊和未解決漏洞，或者說安全欠賬，因?yàn)殚_發(fā)團(tuán)隊(duì)傾向于先關(guān)注更新的漏洞。這一趨勢在增加公司企業(yè)的數(shù)據(jù)泄露風(fēng)險(xiǎn)。Veracode 聲稱：掃描頻率最低的那 1/3 的應(yīng)用，其安全欠賬五倍于掃描頻率最高的那 1% 的應(yīng)用。

數(shù)據(jù)顯示，頻繁掃描不僅有助于公司找出疏漏，還有助于大幅降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。Veracode 表示：公司企業(yè)必須在處理新安全發(fā)現(xiàn)的同時(shí)清理掉舊有的那些。

6. 多數(shù)公司補(bǔ)丁部署耗時(shí)少于一周

Tripwire 資助的一項(xiàng)針對 340 名信息安全人員的研究發(fā)現(xiàn)，9% 的企業(yè)一獲得安全補(bǔ)丁就會立即部署，49% 在七天內(nèi)部署。余下的企業(yè)安全補(bǔ)丁部署耗時(shí)在兩周到一年以上。比如說，16% 的受訪企業(yè)稱在兩周內(nèi)部署補(bǔ)丁，19% 在一個(gè)月內(nèi)，6% 在三個(gè)月內(nèi)。

安全廠商 Tripwire 調(diào)查中的大部分企業(yè) (40%) 每月修復(fù)漏洞數(shù)量少于 10 個(gè)，29% 在同樣時(shí)限內(nèi)部署 10 到 50 個(gè)補(bǔ)丁。但是，相對較少部分的企業(yè)似乎在 30 天內(nèi)修復(fù)多得多的漏洞。例如，9% 的受訪企業(yè)聲稱每月修復(fù) 50 到 100 個(gè)漏洞，6% 的企業(yè)這一數(shù)字超過 100。還有 15% 稱根本算不清自家公司每月修復(fù)了多少安全漏洞。

7. 多種因素拖累修復(fù)腳步

盡管多數(shù)安全公司理解即時(shí)修復(fù)的重要性，但該過程受到多種原因的阻礙。ServiceNow /波耐蒙研究所的調(diào)查中，76% 的受訪者稱，原因之一是 IT 和安全團(tuán)隊(duì)缺乏對應(yīng)用和資產(chǎn)的共識。幾乎同樣比例 (74%) 的受訪者稱，公司的漏洞修復(fù)過程常因下線關(guān)鍵應(yīng)用和系統(tǒng)的考慮而受到延遲。對 72% 的公司而言，補(bǔ)丁優(yōu)先順序是主要問題。人手是另一個(gè)原因，僅 64% 的受訪者稱擁有足夠人手及時(shí)部署補(bǔ)丁。

調(diào)查揭示，大部分 (31%) 公司是 IT 運(yùn)營團(tuán)隊(duì)負(fù)責(zé)補(bǔ)丁部署。26% 的公司由安全運(yùn)營團(tuán)隊(duì)負(fù)責(zé)此事，17% 的公司是 CISO 的團(tuán)隊(duì)負(fù)責(zé)。計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì) (CSIRT) 負(fù)責(zé)補(bǔ)丁部署的企業(yè)占 12%。

8. 多數(shù)公司想快速獲得補(bǔ)丁

發(fā)現(xiàn)軟件安全漏洞時(shí)，多數(shù)公司希望開發(fā)人員能快速解決該問題。被問及漏洞發(fā)現(xiàn)和補(bǔ)丁發(fā)布之間的可接受時(shí)間框架時(shí)，18% 的 Tripwire 調(diào)查受訪者稱不接受任何等待。約半數(shù) (48%) 稱愿意給開發(fā)人員七天時(shí)間來發(fā)布補(bǔ)丁，16% 覺得兩周也可以接受。令人驚訝的是，17% 的受訪者稱，如果需要的話，登上半年也是可以的。

Tripwire 的調(diào)查顯示，大部分公司企業(yè)希望軟件開發(fā)人員持續(xù)發(fā)布產(chǎn)品補(bǔ)丁——即使產(chǎn)品已超出使用期限。36% 的受訪者希望開發(fā)人員在到期一到兩年后仍發(fā)布補(bǔ)丁，15% 希望產(chǎn)品在三到五年間仍受支持。有趣的是，11% 的受訪者稱，供應(yīng)商在產(chǎn)品到期時(shí)立即停止所有補(bǔ)丁支持也行。