大量数据和案例表明,虽然漏洞评估和管理工具不断丰富,但是漏洞管理重在“管理”,企业的漏洞管理或脆弱性风险相关管理依然存在很大的改进空间,例如,人才资金匮乏、缺乏对漏洞风险和受影响资产的感知能力、企业孤岛和部门战争、漏洞修复效率低下等。与此同时,漏洞风险正随着攻击技术的快速升级而增加,例如攻击者在利用机器学习/人工智能技术方面已经超越了防御者。
以下,我们汇总归纳了2020年的全球八大漏洞管理趋势:
一、数据泄露大多与漏洞未修补有关虽然网络安全工具和方法日新月异,但漏洞管理始终是企业网络安全的致命环节,近年来60%的企业数据泄露与安全漏洞未得到修补有关。根据Ponemon Institute针对对近3,000个组织进行的最新调查显示,与2018年相比,2019年未能及时修补漏洞导致的停机给企业造成的损失增加了30%。
二、招兵买马+流程自动化根据ServiceNow / Ponemon的调查,70%的企业表示,他们计划在2020年雇用至少五名员工来进行漏洞管理。对于这些员工,企业的预期平均年成本为:650,000美元。
除了增加人员外,许多企业都将自动化作为应对补丁挑战的一种方式。45%的受访者表示,他们可以通过自动执行补丁管理流程来缩短补丁时间。70%的人说,如果法律迫使公司对数据泄露负责,他们将实施更好的补丁管理流程。
三、法规推动漏洞管理程序的部署大多数据安全法规,例如PCI DSS和HIPAA,都要求合规实体具备漏洞管理程序。毫不奇怪,根据SANS研究所的调查,有84%的企业建立了漏洞管理程序,其中大约55%的已经制定了正式的漏洞管理计划。另有15%的企业表示计划在未来12个月内实施漏洞管理程序。
该调查还发现,大多数实施了漏洞管理程序的企业都使用风险评级指标来确定安全漏洞的严重性。三分之一的受访者表示,他们已经制定了正式的风险评估程序,而将近19%的受访者已制定了非正式的评估风险程序。根据调查,用于漏洞风险评级的一些最常见指标包括CVSS严重性评分、业务资产的重要性、来自威胁情报源的评分以及供应商严重性评级。
四、企业漏洞预防、检测和修补的成本正在上升2019年,企业平均每周花费139小时监控系统的漏洞和威胁,每周花费206小时来修补应用程序和系统。相比2018年的时间成本(127小时监控、153小时修复),尤其是漏洞修补的时间成本有较大幅度增长。 根据ServiceNow / Ponemon的调查,今年企业将在与漏洞和补丁相关的任务上平均花费23,000多个小时。
调查发现,2019年企业用于预防、检测、修补、记录和报告的漏洞管理工作平均每周费用为27688美元,与修补程序相关的停机时间损失每年约144万美元,后者比2018年的116万美元高出约24.4%。
五、漏洞管理扫描频率与响应时间根据Veracode的研究,与扫描频率较低的企业相比,扫描频率较高的企业在补救漏洞方面往往要快得多。该安全供应商发现,每天扫描其代码的软件开发组织所需的漏洞修补中位时间仅为19天,而每月扫描一次或更少时间的软件开发组织则为68天。
据Veracode称,所有应用程序中,约有一半软件出现了老旧和未解决的漏洞(也称安全债),因为开发团队往往首先关注于更新的漏洞。这种趋势正在增加组织的数据泄露风险。Veracode表示:“扫描频率最高的前1%应用程序所承担的安全债比最低的三分之一低大约五倍。”
数据表明,频繁扫描不仅可以帮助公司更快发现漏洞,还可以帮助他们大大降低网络风险。但是,根据安全牛《2020高效漏洞管理现状与趋势报告》,扫描频率并非越高越好,而是应该与其他漏洞管理流程环节的节奏相匹配,例如,你的漏洞修复节奏是每月一次,那么每天扫描也无助于改善结果。理想的状态是扫描频率与修复节奏同步,而且在变更时能够自动执行扫描。
六、“打补丁”周期少于一周根据Tripwire的一项针对340位信息安全专业人员的调查,已经有9%的企业在获得安全补丁后立即部署了该补丁,49%的企业能在7天内完成补丁安装。有16%的企业表示他们在不到两周的时间内就部署了补丁程序,19%的企业表示花了长达一个月的时间,而6%的企业在三个月内安装了补丁程序。