以風(fēng)險(xiǎn)為基礎(chǔ)的網(wǎng)絡(luò)安全初創(chuàng)公司Kenna Security inc成立于2010年，Kenna Security提供了一個(gè)風(fēng)險(xiǎn)情報(bào)和漏洞平臺(tái)，旨在讓InfoSec團(tuán)隊(duì)更快地確定和糾正漏洞。而在這家公司的最新研究中，發(fā)現(xiàn)Windows系統(tǒng)中發(fā)現(xiàn)的漏洞大約是mac的四倍，但windows系統(tǒng)修補(bǔ)漏洞的速度要比mac快很多。

[[324564]]

漏洞管理公司委托Cyentia研究所分析了450個(gè)組織中900萬個(gè)資產(chǎn)的數(shù)據(jù)，并寫了一份報(bào)告——《Prioritization to Prediction Volume 5: In Search of Assets at Risk》。

結(jié)果表明，漏洞少的資產(chǎn)制造商修補(bǔ)補(bǔ)丁的速度往往較慢，而漏洞多的資產(chǎn)修復(fù)速度更快。

例如，它發(fā)現(xiàn)基于Windows的資產(chǎn)每月平均有119個(gè)漏洞：是Mac OS X中發(fā)現(xiàn)漏洞數(shù)量的中位數(shù)的四倍(32)和網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)漏洞數(shù)量的中位數(shù)30倍(4)。

但是，這些Windows漏洞平均在36天內(nèi)修補(bǔ)，而其他網(wǎng)絡(luò)設(shè)備則平均需要一年(369天)。

據(jù)計(jì)算，蘋果平均需要70天才能發(fā)布Mac OS X計(jì)算機(jī)補(bǔ)丁，是微軟的兩倍，而Linux / Unix則需要254天。

微軟的關(guān)鍵補(bǔ)丁率為83%，其次是Mac OS X(79%)，其次是網(wǎng)絡(luò)設(shè)備/設(shè)備(64%)，最后是Linux(63%)。

研究人員在Microsoft計(jì)算機(jī)上發(fā)現(xiàn)了2.15億個(gè)bug。盡管已修復(fù)了1.79億個(gè)漏洞，但其余的3600萬個(gè)漏洞已超過Mac，Linux，Unix和網(wǎng)絡(luò)設(shè)備上已修補(bǔ)和未修補(bǔ)的漏洞總數(shù)。

Cyentia Institute的合伙人兼創(chuàng)始人Wade Baker說：

“With automated patching and Patch Tuesdays, the speed at which Microsoft is able to fix critical vulnerabilities on their systems is remarkable, but there still tend to be a lot of them,”

“通過自動(dòng)補(bǔ)丁和二次補(bǔ)丁，微軟能夠以非常快的速度修復(fù)其系統(tǒng)上的關(guān)鍵漏洞，但是仍然存在很多漏洞。”

“另一方面，我們看到許多資產(chǎn)，例如路由器和打印機(jī)，它們的高風(fēng)險(xiǎn)漏洞則有更長的周期。公司需要圍繞這些權(quán)衡因素調(diào)整其風(fēng)險(xiǎn)承受能力，策略和漏洞管理功能。”

為了更好地處理補(bǔ)丁程序管理，該組織應(yīng)牢記報(bào)告中的以下發(fā)現(xiàn)：

• 有很多已發(fā)布的漏洞。存在大量漏洞，這些漏洞可能對(duì)組織和消費(fèi)者構(gòu)成風(fēng)險(xiǎn)。國家漏洞數(shù)據(jù)庫(NVD)中已經(jīng)發(fā)布了13萬多個(gè)，還有許多尚未得到官方認(rèn)可的漏洞。僅憑純粹的數(shù)量，就很清楚為什么這么多漏洞管理程序被洪水淹沒了。隨著2017年CNA流程的擴(kuò)展，新的CVE錄入率增加了兩倍。雖然這種增長呈指數(shù)型發(fā)展，但這更多地是對(duì)CVE流程的一種衡量，而對(duì)軟件和硬件隨時(shí)間的固有安全性的關(guān)注則較少。
• 修復(fù)漏洞也會(huì)需要很多時(shí)間。就算天天加班也不足以解決130,000個(gè)漏洞，但在實(shí)際環(huán)境中進(jìn)行修復(fù)時(shí)，就會(huì)變得更復(fù)雜。這不僅僅是解決bug的問題，而是一個(gè)發(fā)現(xiàn)并修復(fù)受每個(gè)漏洞影響的結(jié)果的過程。由于受影響的系統(tǒng)如此之多，因此補(bǔ)救安全隱患可能是一個(gè)復(fù)雜而漫長的過程。在第一個(gè)月內(nèi)修補(bǔ)了約45%的漏洞，在三個(gè)月內(nèi)修補(bǔ)了66%的漏洞，但不到20%的漏洞可以保留超過一年的時(shí)間。
• 組織無法修復(fù)所有漏洞?？紤]到影響基礎(chǔ)架構(gòu)的漏洞數(shù)量以及修復(fù)這些漏洞所花費(fèi)的時(shí)間，因此公司無法持續(xù)地對(duì)所有漏洞進(jìn)行補(bǔ)救也就不足為奇了。
• 并非所有漏洞都需要立即修復(fù)。漏洞管理似乎是沒有希望的冒險(xiǎn)，但是數(shù)據(jù)中確實(shí)有希望的跡象。企業(yè)無法解決所有問題，但現(xiàn)實(shí)是他們不需要這樣做。許多漏洞會(huì)影響大多數(shù)企業(yè)網(wǎng)絡(luò)當(dāng)前未使用的技術(shù)。雖然確實(shí)確實(shí)會(huì)定期出現(xiàn)新的攻擊，但是大多數(shù)公司也可以在沒有已知攻擊的情況下安全地降低漏洞的優(yōu)先級(jí)。當(dāng)您無法解決所有問題時(shí)，解決最重要的問題至關(guān)重要。
• 公司可以修復(fù)所有高風(fēng)險(xiǎn)漏洞。這里有兩個(gè)關(guān)鍵事實(shí)：1)公司無法修復(fù)其所有漏洞;2)只有一小部分漏洞具有已知利用。因此，從理論上講，假設(shè)激光聚焦，組織可能能夠補(bǔ)救整個(gè)環(huán)境中的所有高風(fēng)險(xiǎn)漏洞。他們甚至可能有空間來修復(fù)尚未利用的漏洞，但可能會(huì)在將來。在接受研究的數(shù)百家公司中，只有一半以上的公司減少了其環(huán)境中的高風(fēng)險(xiǎn)漏洞的數(shù)量，而有16%的公司堅(jiān)守了自己的立場。這意味著三分之二的組織已經(jīng)成功地管理了現(xiàn)實(shí)世界中的漏洞風(fēng)險(xiǎn)。