大量數(shù)據(jù)和案例表明，雖然漏洞評估和管理工具不斷豐富，但是漏洞管理重在“管理”，企業(yè)的漏洞管理或脆弱性風(fēng)險相關(guān)管理依然存在很大的改進空間，例如，人才資金匱乏、缺乏對漏洞風(fēng)險和受影響資產(chǎn)的感知能力、企業(yè)孤島和部門戰(zhàn)爭、漏洞修復(fù)效率低下等。與此同時，漏洞風(fēng)險正隨著攻擊技術(shù)的快速升級而增加，例如攻擊者在利用機器學(xué)習(xí)/人工智能技術(shù)方面已經(jīng)超越了防御者。

[[331418]]

以下，我們匯總歸納了2020年的全球八大漏洞管理趨勢：

一、數(shù)據(jù)泄露大多與漏洞未修補有關(guān)

雖然網(wǎng)絡(luò)安全工具和方法日新月異，但漏洞管理始終是企業(yè)網(wǎng)絡(luò)安全的致命環(huán)節(jié)，近年來60%的企業(yè)數(shù)據(jù)泄露與安全漏洞未得到修補有關(guān)。根據(jù)Ponemon Institute對近3,000個組織進行的最新調(diào)查顯示，與2018年相比，2019年未能及時修補漏洞導(dǎo)致的停機給企業(yè)造成的損失增加了30%。

二、招兵買馬+流程自動化

根據(jù)ServiceNow/Ponemon的調(diào)查，70%的企業(yè)表示，他們計劃在2020年雇用至少五名員工來進行漏洞管理。對于這些員工，企業(yè)的預(yù)期平均年成本為：650,000美元。

除了增加人員外，許多企業(yè)都將自動化作為應(yīng)對補丁挑戰(zhàn)的一種方式。45%的受訪者表示，他們可以通過自動執(zhí)行補丁管理流程來縮短補丁時間。70%的人說，如果法律迫使公司對數(shù)據(jù)泄露負(fù)責(zé)，他們將實施更好的補丁管理流程。

三、法規(guī)推動漏洞管理程序的部署

大多數(shù)據(jù)安全法規(guī)，例如PCI DSS和HIPAA，都要求合規(guī)實體具備漏洞管理程序。毫不奇怪，根據(jù)SANS研究所的調(diào)查，有84%的企業(yè)建立了漏洞管理程序，其中大約55%的已經(jīng)制定了正式的漏洞管理計劃。另有15%的企業(yè)表示計劃在未來12個月內(nèi)實施漏洞管理程序。

該調(diào)查還發(fā)現(xiàn)，大多數(shù)實施了漏洞管理程序的企業(yè)都使用風(fēng)險評級指標(biāo)來確定安全漏洞的嚴(yán)重性。三分之一的受訪者表示，他們已經(jīng)制定了正式的風(fēng)險評估程序，而將近19%的受訪者已制定了非正式的評估風(fēng)險程序。根據(jù)調(diào)查，用于漏洞風(fēng)險評級的一些最常見指標(biāo)包括CVSS嚴(yán)重性評分、業(yè)務(wù)資產(chǎn)的重要性、來自威脅情報源的評分以及供應(yīng)商嚴(yán)重性評級。

四、企業(yè)漏洞預(yù)防、檢測和修補的成本正在上升

2019年，企業(yè)平均每周花費139小時監(jiān)控系統(tǒng)的漏洞和威脅，每周花費206小時來修補應(yīng)用程序和系統(tǒng)。相比2018年的時間成本(127小時監(jiān)控、153小時修復(fù))，尤其是漏洞修補的時間成本有較大幅度增長。根據(jù)ServiceNow/Ponemon的調(diào)查，今年企業(yè)將在與漏洞和補丁相關(guān)的任務(wù)上平均花費23,000多個小時。

調(diào)查發(fā)現(xiàn)，2019年企業(yè)用于預(yù)防、檢測、修補、記錄和報告的漏洞管理工作平均每周費用為27688美元，與修補程序相關(guān)的停機時間損失每年約144萬美元，后者比2018年的116萬美元高出約24.4%。

五、漏洞管理掃描頻率與響應(yīng)時間

根據(jù)Veracode的研究，與掃描頻率較低的企業(yè)相比，掃描頻率較高的企業(yè)在補救漏洞方面往往要快得多。該安全供應(yīng)商發(fā)現(xiàn)，每天掃描其代碼的軟件開發(fā)組織所需的漏洞修補中位時間僅為19天，而每月掃描一次或更少時間的軟件開發(fā)組織則為68天。

據(jù)Veracode稱，所有應(yīng)用程序中，約有一半軟件出現(xiàn)了老舊和未解決的漏洞(也稱安全債)，因為開發(fā)團隊往往首先關(guān)注于更新的漏洞。這種趨勢正在增加組織的數(shù)據(jù)泄露風(fēng)險。Veracode表示：“掃描頻率最高的前1%應(yīng)用程序所承擔(dān)的安全債比最低的三分之一低大約五倍。”

數(shù)據(jù)表明，頻繁掃描不僅可以幫助公司更快發(fā)現(xiàn)漏洞，還可以幫助他們大大降低網(wǎng)絡(luò)風(fēng)險。但是，根據(jù)安全?！?020高效漏洞管理現(xiàn)狀與趨勢報告》，掃描頻率并非越高越好，而是應(yīng)該與其他漏洞管理流程環(huán)節(jié)的節(jié)奏相匹配，例如，你的漏洞修復(fù)節(jié)奏是每月一次，那么每天掃描也無助于改善結(jié)果。理想的狀態(tài)是掃描頻率與修復(fù)節(jié)奏同步，而且在變更時能夠自動執(zhí)行掃描。

六、“打補丁”周期少于一周

根據(jù)Tripwire的一項針對340位信息安全專業(yè)人員的調(diào)查，已經(jīng)有9%的企業(yè)在獲得安全補丁后立即部署了該補丁，49%的企業(yè)能在7天內(nèi)完成補丁安裝。有16%的企業(yè)表示他們在不到兩周的時間內(nèi)就部署了補丁程序，19%的企業(yè)表示花了長達一個月的時間，而6%的企業(yè)在三個月內(nèi)安裝了補丁程序。

Tripwire調(diào)查顯示，多達40%的企業(yè)每月修補的漏洞少于10個，29%的企業(yè)每月修補10-50個漏洞。9%的企業(yè)表示他們每月修補50至100個漏洞，而有6%的企業(yè)每月修補的漏洞數(shù)量超過100個。令人驚訝的是，有15%的企業(yè)表示他們不知道自己每月修補了多少個安全漏洞。

七、多種因素導(dǎo)致補丁延遲

盡管大多數(shù)安全企業(yè)都了解及時修補漏洞的重要性，但由于各種原因，該過程可能會延遲。在Ponemon的調(diào)查中，大多數(shù)(76%)的受訪者表示，原因之一是IT和安全團隊之間對應(yīng)用程序和資產(chǎn)缺乏統(tǒng)一的看法。幾乎相同的比例(74%)受訪者表示，由于擔(dān)心導(dǎo)致關(guān)鍵應(yīng)用程序和系統(tǒng)停機，他們的修補過程經(jīng)常被延遲。對于72%的用戶，補丁優(yōu)先級是導(dǎo)致延遲的主要問題。人員配備是另一個原因，只有64%的受訪者表示他們有足夠的人手及時部署補丁。

調(diào)查顯示，IT運營團隊負(fù)責(zé)修補大多數(shù)漏洞(31%)，安全運營團隊負(fù)責(zé)組織中26%的漏洞修補任務(wù)，而CISO團隊為17%，計算機安全事件響應(yīng)團隊(CSIRT)負(fù)責(zé)12%的企業(yè)漏洞修復(fù)工作。

八、對補丁延誤的容忍度在降低

在軟件中發(fā)現(xiàn)安全漏洞后，大多數(shù)企業(yè)都希望開發(fā)人員能夠迅速采取行動來解決問題。Tripwire的調(diào)查顯示，當(dāng)受訪者被問及他們認(rèn)為在漏洞發(fā)現(xiàn)與補丁發(fā)布之間可接受的時間范圍時，有18%的人表示不接受任何等待。大約一半(48%)的人表示，他們愿意給開發(fā)者7天的時間來發(fā)布補丁，而16%的人接受在兩周的時間內(nèi)發(fā)布補丁程序。令人驚訝的是，有17%的人表示，如果需要，他們可以接受花費六個月時間等待補丁程序。

調(diào)查顯示，企業(yè)普遍期望軟件開發(fā)人員即使在產(chǎn)品到期后仍會繼續(xù)發(fā)布產(chǎn)品補丁。36%的人表示，他們希望開發(fā)人員在產(chǎn)品生命周期結(jié)束后的一到兩年內(nèi)發(fā)布補丁，而15%的人希望產(chǎn)品在三到五年內(nèi)得到支持。有趣的是，有11%的人表示可以接受供應(yīng)商在產(chǎn)品到期時立即停止所有補丁程序支持。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文