本文來自安全牛。
未修復的IT系統(tǒng)漏洞就同敞開的大門,可任由惡意攻擊者暢行。安全團隊必須快速找到并關閉那些敞開的大門,才能確保其企業(yè)的信息化系統(tǒng)應用安全。然而,發(fā)現(xiàn)未知的漏洞是一項挑戰(zhàn),有效管理并快速響應已知的漏洞則是另一項挑戰(zhàn)。做好漏洞管理工作的前提是發(fā)現(xiàn)風險,如果沒有基于風險的漏洞管理方法,企業(yè)將無法面對不斷增長的漏洞威脅。
為了更好地了解當前企業(yè)漏洞管理現(xiàn)狀,安全服務公司NopSec日前針對426名企業(yè)安全管理者進行了專項調(diào)查,報告研究發(fā)現(xiàn),70%的受訪者表示對目前的漏洞管理計劃(VMP)并不滿意,其中34%的受訪者更是認為,他們所在企業(yè)目前還沒有明確的漏洞管理計劃,存在較嚴重的安全威脅隱患。
研究發(fā)現(xiàn)
圍繞可利用性和關鍵性對安全風險進行優(yōu)先級排序是開展漏洞管理的首要目標。其他關鍵目標還包括未知漏洞識別和企業(yè)外部攻擊面管理等;
影子IT將是企業(yè)未來漏洞管理中的主要挑戰(zhàn),這將嚴重降低企業(yè)對所有安全風險的可見性。而缺乏專業(yè)的安全人員修復漏洞是另一個重大挑戰(zhàn);
威脅情報在漏洞管理中的應用不足,有53%的受訪者表示他們的組織還沒有使用第三方威脅情報,例如滲透測試、漏洞披露以及IP或域名聲譽評分;
目前的漏洞修補時間過長。只有18%的受訪者表示漏洞會在發(fā)現(xiàn)后的24小時內(nèi)修復,62%的受訪者表示需要超過48小時或更長時間來修復已知的嚴重漏洞;
利用漏洞發(fā)起的攻擊比以往任何時候都更加復雜。過半數(shù)受訪者表示他們能夠感受到攻擊的復雜性正在增加。
漏洞管理現(xiàn)狀調(diào)查
01
企業(yè)實施漏洞管理計劃(VMP)的目標是什么?
調(diào)查顯示,當被問及“您認為您希望通過漏洞管理計劃(VMP)實現(xiàn)的最高目標是什么?”時,34.9%的受訪者認為首要目標是“根據(jù)對組織構(gòu)成的風險確定其漏洞修復和緩解工作的優(yōu)先級”,而漏洞的可利用性和暴露資產(chǎn)的重要性將是用于確定其優(yōu)先級的標準。
【希望通過漏洞管理計劃(VMP)實現(xiàn)的最高目標】
02
企業(yè)目前漏洞管理計劃的有效性如何?
而當被問及“對當前漏洞管理計劃的整體有效性的印象”時,70%的受訪者表示他們的VMP只是有些效果或不太有效,其中34%的受訪者認為是無效的。只有不到三分之一(30.1%)的受訪者表示擁有非常有效的VMP。
【當前漏洞管理計劃的整體有效性】
03
影響漏洞管理計劃有效性的首要因素是什么?
通過調(diào)查那些回答稱“擁有非常有效的VMP”的組織,結(jié)果發(fā)現(xiàn),影響VMP有效性的首要因素(占43%)是其組織內(nèi)部了解漏洞管理的人才。這些組織一般都有吸引和留住頂尖網(wǎng)絡安全人才的戰(zhàn)略,但鑒于安全行業(yè)正在經(jīng)歷的巨大技能缺口,這種回應也表明需要更自動化的漏洞管理解決方案。
【影響VMP有效性的關鍵因素】
04
漏洞管理面臨哪些挑戰(zhàn)?
調(diào)研發(fā)現(xiàn),“影子IT限制風險暴露的可見性”是本次受訪者認為的漏洞安全管理最大挑戰(zhàn)。此外,16.2%的受訪者認為“缺乏訓練有素的員工來修復漏洞”也給漏洞管理造成很多困難。13.9%受訪者認為,開展常態(tài)化的漏洞掃描與發(fā)現(xiàn)工作難以得到公司管理層的支持。
【漏洞管理面臨的重大挑戰(zhàn)】
05
企業(yè)最常用的漏洞掃描類型是什么?
那么,安全團隊目前正在執(zhí)行什么類型的漏洞掃描呢?結(jié)果幾乎平分秋色,受訪者表示服務器、應用程序和代碼是他們掃描最多的內(nèi)容(各占34%)。另外33.8%為物聯(lián)網(wǎng)和OT設備;33.5%為云資產(chǎn);33.3%為網(wǎng)絡基礎設施設備(如路由、交換機等);32.1%為臺式機/筆記本電腦。
【漏洞掃描類型分布】
06
企業(yè)會在漏洞管理中使用第三方威脅情報嗎?
當詢問受訪者“是否利用第三方供應商提供威脅情報數(shù)據(jù)”時,令人驚訝的結(jié)果是,52.8%的企業(yè)表示他們沒有從外部資源中獲取有關漏洞威脅的信息。
【第三方威脅情報應用調(diào)查】
07
企業(yè)是否對漏洞進行風險優(yōu)先級評估?
57.5%的受訪者表示,他們的公司沒有使用基于風險的評級系統(tǒng)來確定漏洞的優(yōu)先級。因此可以這樣認為,多數(shù)公司仍然是以“先識別、先修復”的方式來進行漏洞修復工作。而對于那些評估漏洞風險等級的企業(yè),他們所依據(jù)的評估工具包括:52.4%為CVSS評分;40.8%為資產(chǎn)重要性;39.2%為補償控制;38.1%為威脅情報源。
【漏洞風險等級評估工具】
08
企業(yè)是否對漏洞修補時間有明確要求?
單個漏洞在網(wǎng)絡或應用程序中存在的時間量通常取決于漏洞帶來的風險。只有28.2%的受訪者表示他們的組織已經(jīng)標準化了服務水平協(xié)議(SLA),以明確修復漏洞的速度。但需要注意的是,不使用基于風險的優(yōu)先級方案的組織將難以構(gòu)建有意義的SLA。
而在這些明確修復漏洞速度的企業(yè)中,20.4%的企業(yè)表示,他們要求在發(fā)現(xiàn)關鍵漏洞后48小時內(nèi)對其進行修補;15.9%的企業(yè)在72小時內(nèi)修復;16.2%的企業(yè)在1周內(nèi)修復;15.9%的企業(yè)在2周內(nèi)修復。只有17.8%的企業(yè)表示這些CVSS評分9.0及以上的高危漏洞需要在發(fā)現(xiàn)后的24小時內(nèi)進行修復。
【漏洞修復時間】
09
漏洞數(shù)量的增長趨勢如何?
報告研究發(fā)現(xiàn),在過去12個月中,跟蹤漏洞數(shù)量的公司中有58%的報告稱漏洞數(shù)量翻了一番、三倍或四倍。其中,17.3%報告翻了一番;21.8%報告翻了三倍;19.3%報告翻了四倍。只有22.2%的報告稱漏洞數(shù)量沒有增加,19.6%的報告稱觀察的漏洞數(shù)量減少了。
盡管漏洞在增加并且攻擊的復雜性也在增加,但大多數(shù)組織仍然沒有對漏洞進行風險評估,不依賴外部威脅情報,或者規(guī)定必須以多快的速度修補漏洞。對于正面臨日益嚴峻的威脅形勢的現(xiàn)代組織來說,這些都不利于可持續(xù)性發(fā)展。
【過去一年中,跟蹤到的漏洞數(shù)量變化狀態(tài)】
10
企業(yè)最關注的漏洞管理事項是什么?
16.9%的受訪者表示,其所在的企業(yè)將會購買新工具或升級他們現(xiàn)有的漏洞評估工具;14.7%的受訪者表示需要提高企業(yè)的安全風險可見性,實現(xiàn)100%的本地和云上資產(chǎn)漏洞掃描覆蓋率;14.5%的受訪者表示要改進漏洞管理制度中的溝通和報告流程;13.6%的受訪者表示要雇用更多受過漏洞管理培訓的員工;13.3%要實施基線安全配置并掃描合規(guī)性;12.4%的受訪者則表示要添加攻擊模擬的功能。
【未來一年企業(yè)在漏洞管理中的重點工作】
11
企業(yè)用于漏洞管理的預算會如何變化?
當被問及未來12個月他們所在企業(yè)的漏洞管理預算將如何變化時,36.6%參與預算相關決策的人預計預算會增加,34%認為預算會基本持平,而有29.3%的人預計他們的預算會縮減。
【未來一年漏洞管理預算變化】
24.4%的受訪者預計漏洞管理預算會呈現(xiàn)26%至50%的適度增長,只有21.7%的人預計會低于這個水平(25%及以下)。此外,17.3%的人樂觀地認為預算會增長51%-75%;20.8%的人認為預算會增長76%-100%;甚至15.7%的人期待預算增加100%或更多。
【未來一年企業(yè)漏洞管理預算增長率】