Tripwire调查显示,多达40%的企业每月修补的漏洞少于10个,29%的企业每月修补10-50个漏洞。9%的企业表示他们每月修补50至100个漏洞,而有6%的企业每月修补的漏洞数量超过100个。令人惊讶的是,有15%的企业表示他们不知道自己每月修补了多少个安全漏洞。
七、多种因素导致补丁延迟尽管大多数安全企业都了解及时修补漏洞的重要性,但由于各种原因,该过程可能会延迟。在Ponemon的调查中,大多数(76%)的受访者表示,原因之一是IT和安全团队之间对应用程序和资产缺乏统一的看法。几乎相同的比例(74%)受访者表示,由于担心导致关键应用程序和系统停机,他们的修补过程经常被延迟。对于72%的用户,补丁优先级是导致延迟的主要问题。人员配备是另一个原因,只有64%的受访者表示他们有足够的人手及时部署补丁。
调查显示,IT运营团队负责修补大多数漏洞(31%),安全运营团队负责组织中26%的漏洞修补任务,而CISO团队为17%,计算机安全事件响应团队(CSIRT)负责12%的企业漏洞修复工作。
八、对补丁延误的容忍度在降低在软件中发现安全漏洞后,大多数企业都希望开发人员能够迅速采取行动来解决问题。Tripwire的调查显示,当受访者被问及他们认为在漏洞发现与补丁发布之间可接受的时间范围时,有18%的人表示不接受任何等待。大约一半(48%)的人表示,他们愿意给开发者7天的时间来发布补丁,而16%的人接受在两周的时间内发布补丁程序。令人惊讶的是,有17%的人表示,如果需要,他们可以接受花费六个月时间等待补丁程序。
调查显示,企业普遍期望软件开发人员即使在产品到期后仍会继续发布产品补丁。36%的人表示,他们希望开发人员在产品生命周期结束后的一到两年内发布补丁,而15%的人希望产品在三到五年内得到支持。有趣的是,有11%的人表示可以接受供应商在产品到期时立即停止所有补丁程序支持。
《2020年高效漏洞管理现状与趋势报告》现已在安全牛商城上架,请长按识别下方二维码购买: