本文來自微信公眾號“數(shù)世咨詢”,作者/nana。
網(wǎng)絡(luò)安全公司HelpSystems今年更名為Fortra,于日前發(fā)布了更名后的第一份漏洞管理報告。Fortra《2022年漏洞管理報告》基于對390多位網(wǎng)絡(luò)安全專業(yè)人士的全面調(diào)研,旨在深入了解最新趨勢、關(guān)鍵挑戰(zhàn)和漏洞管理解決方案偏好。
報告揭示,網(wǎng)絡(luò)安全團(tuán)隊需要現(xiàn)成的有效漏洞管理解決方案幫助拓展網(wǎng)絡(luò)安全能力,在不補(bǔ)充人手的情況下保護(hù)業(yè)務(wù)正常運(yùn)轉(zhuǎn)。而在這方面,除了漏洞掃描,還包括能提高團(tuán)隊效率和安全有效性的多層安全解決方案。
調(diào)研參與者還指出了IT基礎(chǔ)設(shè)施相關(guān)的多個關(guān)鍵挑戰(zhàn)。安全成熟度不足、漏洞管理人員配置、預(yù)算限制、補(bǔ)丁部署和一系列其他問題都是其中的一部分。
漏洞管理計劃的成熟度和有效性是重要因素
“安全成熟度”與當(dāng)前安全狀況有關(guān),涉及風(fēng)險環(huán)境和容忍度。由于每家公司都有自己的安全風(fēng)險賬,風(fēng)險情況就會隨組織環(huán)境不同而迥異。面對當(dāng)前快速變化的威脅環(huán)境,企業(yè)發(fā)現(xiàn)自己越來越難以識別、排序、修復(fù)和緩解軟件及系統(tǒng)漏洞了。持續(xù)的網(wǎng)絡(luò)安全人才短缺狀況進(jìn)一步加重了這個問題。
基于此,網(wǎng)絡(luò)安全團(tuán)隊需要便于使用的漏洞管理解決方案來鋪開自己的安全操作,在不增加人手的情況下保護(hù)業(yè)務(wù)安全。而在這方面,除了漏洞掃描,還包括能提高團(tuán)隊效率和安全有效性的多層安全解決方案。
說到漏洞管理計劃,大部分公司倒是確實有此安排。調(diào)研結(jié)果表明,大多數(shù)(71%)企業(yè)有正式的內(nèi)部漏洞管理計劃。少數(shù)(12%)企業(yè)只有非正式的臨時計劃,8%的受訪企業(yè)有第三方托管計劃,9%根本沒有漏洞管理計劃。
然而,問及漏洞管理計劃的有效性時,僅近三分之一的受訪企業(yè)表示有效。超過半數(shù)(62%)的受訪企業(yè)認(rèn)為漏洞管理計劃不過是勉強(qiáng)有效。
盡管71%的企業(yè)有正式的漏洞管理計劃,但若論及這些計劃的成熟度和有效性,僅66%的受訪企業(yè)具備3級或更高級別的成熟度水平。成熟度水平級別由IT環(huán)境風(fēng)險分析和優(yōu)先級排序而定。五個級別如下:
●0級——無漏洞管理計劃。
●1級——掃描:無分析或修復(fù)指南。
●2級——評估與合規(guī):按合規(guī)和最佳實踐進(jìn)行定期評估的結(jié)構(gòu)化戰(zhàn)略。有既定流程。
●3級——分析與優(yōu)先級排序:有除CVSS評分之外的分析;威脅優(yōu)先級取決于特定個別IT環(huán)境的風(fēng)險。
●4級——攻擊管理:采用掃描測試數(shù)據(jù)發(fā)現(xiàn)威脅攻擊如何在系統(tǒng)中移動。
●5級——業(yè)務(wù)風(fēng)險管理:有將整個環(huán)境納入考慮的全面管理計劃,分析漏洞掃描和滲透測試所得數(shù)據(jù),檢查各項指標(biāo)以確定趨勢,并采用增強(qiáng)的流程和修復(fù)技術(shù)。
除此之外,調(diào)查還發(fā)現(xiàn),在漏洞管理能力方面,漏洞評估(70%)排在了前列。資產(chǎn)發(fā)現(xiàn)(66%)、漏洞掃描(63%)和風(fēng)險管理功能(61%)緊隨其后。
預(yù)算限制是最大的障礙
如今很難看到哪家新聞出版物不登載數(shù)據(jù)泄露相關(guān)消息了。每次數(shù)據(jù)泄露幾乎都會對社區(qū)和事發(fā)企業(yè)造成廣泛影響。網(wǎng)絡(luò)攻擊的持續(xù)沖擊之下,漏洞管理成了任何公司不可或缺的需要。
然而,調(diào)研結(jié)果顯示,預(yù)算限制(60%)是阻礙漏洞管理能力提升的最大障礙之一,長期人才短缺(45%)和低效漏洞控制規(guī)程(36%)亦不惶多讓。缺乏高層支持(21%)和存在技術(shù)短板(29%)起到的阻礙作用則較小。
物聯(lián)網(wǎng)和運(yùn)營技術(shù)(OT)需要更好的漏洞管理
識別出入網(wǎng)物聯(lián)網(wǎng)設(shè)備的相關(guān)漏洞后,企業(yè)就可以開始實現(xiàn)安全框架了。物聯(lián)網(wǎng)安全主要在于對網(wǎng)絡(luò)基礎(chǔ)設(shè)施上物聯(lián)網(wǎng)設(shè)備的有效控制。
但是,調(diào)研結(jié)果表明,物聯(lián)網(wǎng)和OT設(shè)備需要更好的漏洞管理。物聯(lián)網(wǎng)和OT設(shè)備以65%的比例高居榜首,反映出大多數(shù)IT環(huán)境都忽視了此類設(shè)備的安全問題。緊隨其后的是云資產(chǎn)(44%)和端點(diǎn)(41%)。
深入漏洞管理之前,企業(yè)還有頗為重要的第一步要走:確定自家基礎(chǔ)設(shè)施中需要增強(qiáng)漏洞管理的領(lǐng)域。
安全補(bǔ)丁的應(yīng)用速度非常關(guān)鍵
缺乏快速補(bǔ)丁管理流程是很多公司面臨的一大難題。及時修復(fù)對維持穩(wěn)健安全態(tài)勢至關(guān)重要。企業(yè)部署安全補(bǔ)丁修復(fù)漏洞到底有多快呢?根據(jù)調(diào)查,僅29%的受訪企業(yè)能在補(bǔ)丁推出3天內(nèi)加以部署。22%的受訪企業(yè)在補(bǔ)丁推出一周內(nèi)部署,35%的受訪企業(yè)需要一周到一個月的時間。安全補(bǔ)丁應(yīng)用速度最慢的企業(yè)中,6%在3個月內(nèi)應(yīng)用補(bǔ)丁,3%甚至需要一年或一年以上,補(bǔ)丁應(yīng)用速度之慢簡直令人側(cè)目。
漏洞可見度有限
解決漏洞的第一步是看到漏洞。但是,問及漏洞可見度時,調(diào)研發(fā)現(xiàn),不足半數(shù)的網(wǎng)絡(luò)安全專業(yè)人員宣稱擁有較高(35%)或完全(11%)的可見度。更多的是超過半數(shù)(51%)的受訪企業(yè)對自身漏洞僅有中等程度的了解。
至于購買漏洞管理解決方案的支出觸發(fā)因素,調(diào)研發(fā)現(xiàn),68%的受訪企業(yè)首選預(yù)防性安全措施。合規(guī)(42%)和審計結(jié)果(37%)位列漏洞管理解決方案購買動機(jī)的第二和第三位。
安全漏洞數(shù)量龐大
調(diào)研發(fā)現(xiàn),去年,76%的受訪企業(yè)見證了安全漏洞數(shù)量增長。超過三分之一的受訪企業(yè)(38%)漏洞數(shù)量增長了25%,另有24%的受訪企業(yè)漏洞增長了26%~50%。
盡管76%的受訪企業(yè)在去年經(jīng)歷了漏洞增長,但僅約三分之一(30%)的受訪企業(yè)預(yù)期會增配漏洞管理人員。報告進(jìn)一步揭示,44%的受訪企業(yè)預(yù)計會增加在漏洞管理解決方案方面的投入,而37%的受訪企業(yè)預(yù)期不會在這方面有任何支出變化。盡管預(yù)計會增加,但不到三分之一的受訪企業(yè)(30%)預(yù)計會大幅增加人員配置,這或許反映了網(wǎng)絡(luò)安全團(tuán)隊面臨的持續(xù)人才短缺狀況。大概略高于三分之一(36%)的受訪企業(yè)預(yù)計會增加漏洞測試開支。
結(jié)語
《2022年漏洞管理報告》強(qiáng)調(diào),缺乏安全成熟度、漏洞管理人員配置、預(yù)算限制、補(bǔ)丁部署,以及其他各種問題全都是關(guān)鍵挑戰(zhàn)。漏洞評估位居漏洞管理能力榜首,其次是資產(chǎn)發(fā)現(xiàn)和風(fēng)險管理功能。物聯(lián)網(wǎng)和OT設(shè)備問題最大的資產(chǎn),反映出大多數(shù)IT環(huán)境都忽視了此類設(shè)備的安全問題。預(yù)算限制則是增強(qiáng)漏洞管理的最大障礙。
所有這一切都表明,企業(yè)須更為關(guān)注自身安全態(tài)勢和安全事件準(zhǔn)備度。網(wǎng)絡(luò)安全團(tuán)隊需要容易上手的漏洞管理解決方案,以便能夠在不增加人手的情況下開展安全工作。缺乏安全可見度是否與預(yù)算直接相關(guān),或者是否存在其他因素?我們很容易推斷,高管層可能仍然過于脫離普通員工,進(jìn)一步置公司于巨大風(fēng)險之中。
Cybersecurity Insiders《2022年漏洞管理報告》:
https://www.cybersecurity-insiders.com/portfolio/2022-vulnerability-management-report-helpsystems/