《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 與漏洞共存 基于風險的漏洞管理讓企業(yè)更從容應對安全威脅

與漏洞共存 基于風險的漏洞管理讓企業(yè)更從容應對安全威脅

2022-11-13
來源:安全419
關鍵詞: 漏洞 安全威脅

  在過去五年中,,美國國家漏洞數(shù)據(jù)庫 (NVD) 每年都會打破上一年度的報告漏洞數(shù)量記錄,,毫無疑問,,2022年也將是如此,,據(jù)業(yè)內(nèi)統(tǒng)計,,迄今為止 2022 年平均每天會出現(xiàn)60多個新漏洞,。

  隨著威脅態(tài)勢的愈發(fā)嚴峻,,安全團隊已經(jīng)無法跟上漏洞報告的速度,,因疲于應對不斷爆發(fā)的安全漏洞,,一些安全從業(yè)者甚至已經(jīng)對安全工作表現(xiàn)出了厭倦,。

  事實上,試圖修復一切漏洞并不是一項正確的決策,。來自安全公司Kenna與Cyentia 研究所的一項數(shù)據(jù)研究證明,,基于風險的漏洞管理 (RBVM) 方法已經(jīng)成為企業(yè)安全建設的核心思想,相比緊追漏洞報告修復漏洞的工作模式而言,,采用RBVM風險管理模式的組織顯然能夠以更輕松的姿態(tài)在安全建設工作中取得更好的結(jié)果,。

  在過去,人們十分避諱“與漏洞風險共存”,,每個人都將漏洞管理視為一個無足輕重的話題,。但很少有組織能夠真正達到全部漏洞都已修復的狀態(tài),因為這一目標的實現(xiàn)往往意味著大量人力,、財力和物力資源的無意義消耗,,大量的時間都會被浪費在修補那些構(gòu)不成真正威脅的漏洞上。

  Cyentia 研究所發(fā)現(xiàn),當前23%的已報告漏洞均發(fā)布了漏洞利用代碼,,但只有2% 的漏洞已在野外觀察到漏洞利用的情況,,因此,假設組織基于風險情報集中力量優(yōu)先補救關鍵漏洞,,那將大大減少安全人員的工作壓力,。

  這項聯(lián)合研究對Kenna監(jiān)測到的組織對漏洞的修復能力、速度,、覆蓋率和效率等多個維度的數(shù)據(jù)進行了統(tǒng)計分析,,分享了一個優(yōu)秀的RBVM 工作方法為相關組織提供安全指引:

  微信圖片_20221113131208.png

  上圖左側(cè)的百分比容量代表著被監(jiān)測組織平均每個月修復的漏洞數(shù)量,因此可以看到,,無論是處于哪一個安全基線的組織都在修復大量的公開漏洞,,安全實力卓越的組織針對公開漏洞的修復速度有了很大的提升。

  微信圖片_20221113131211.png

  從這一張統(tǒng)計分析圖中能夠看到,,隨著時間的推移,,相比2016年時,公開漏洞的修復效率已經(jīng)得到了顯著提升,,2016年時漏洞的半衰期(即修復一半新發(fā)現(xiàn)漏洞所需的時間)甚至會超過 125 天,。而在過去四年中,半衰期已從 32 天減少到 21 天,,減少了三分之一以上,。

  微信圖片_20221113131213.png

  統(tǒng)計顯示,2018年左右,,公開漏洞覆蓋率和效率都在35%左右,。通過上圖的曲線比較也可以看到,漏洞修復的效率與覆蓋度相關,,如果漏洞修復優(yōu)先級策略沒有重大變化的話,,改進其中一個指標往往會相應的導致令一個指標的下降。例如,,想要增加漏洞修復的覆蓋范圍,就必須去補救更多低危漏洞,,但這會降低關鍵漏洞的修復效率,。

  此外我們能看到,自2017年以來報告的漏洞數(shù)量每年都在增加,,但大量的組織已經(jīng)開始采用基于風險的漏洞管理方法來完成漏洞修復工作,,通過關注風險來過濾大量無效漏洞帶來的噪音,這也使得監(jiān)測到的公開漏洞的修復效率和覆蓋率都得以持續(xù)的提高,。

  研究最后指出,,在行業(yè)已經(jīng)逐漸探索出更智能的漏洞管理方法的同時,互聯(lián)網(wǎng)平臺和軟件的供應商的響應效率也在變得更加高。以微軟舉例來說,,微軟定期發(fā)布的安全補丁對于供應鏈下游組織修復漏洞的效率產(chǎn)生了重大的影響,,監(jiān)測數(shù)據(jù)顯示,絕大多數(shù)組織都在安全更新發(fā)布后的22天內(nèi)修復了半數(shù)以上的報告中發(fā)布的漏洞,。

  安全人才的短缺也讓安全形勢進一步復雜化,,但好在漏洞管理的工作方法正在得到優(yōu)化,組織逐漸意識到不再需要全部修復所有的安全漏洞,,而是轉(zhuǎn)換以控制風險的視角來看待自身的安全性,,通過采用基于風險的漏洞管理 (RBVM) 方法讓安全工作重新回歸理性。



更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。