未修復(fù)的IT系統(tǒng)漏洞就同敞開(kāi)的大門，可任由惡意攻擊者暢行。安全團(tuán)隊(duì)必須快速找到并關(guān)閉那些敞開(kāi)的大門，才能確保其企業(yè)的信息化系統(tǒng)應(yīng)用安全。然而，發(fā)現(xiàn)未知的漏洞是一項(xiàng)挑戰(zhàn)，有效管理并快速響應(yīng)已知的漏洞則是另一項(xiàng)挑戰(zhàn)。做好漏洞管理工作的前提是發(fā)現(xiàn)風(fēng)險(xiǎn)，如果沒(méi)有基于風(fēng)險(xiǎn)的漏洞管理方法，企業(yè)將無(wú)法面對(duì)不斷增長(zhǎng)的漏洞威脅。

為了更好地了解當(dāng)前企業(yè)漏洞管理現(xiàn)狀，安全服務(wù)公司NopSec日前針對(duì)426名企業(yè)安全管理者進(jìn)行了專項(xiàng)調(diào)查，報(bào)告研究發(fā)現(xiàn)，70%的受訪者表示對(duì)目前的漏洞管理計(jì)劃（VMP）并不滿意，其中34%的受訪者更是認(rèn)為，他們所在企業(yè)目前還沒(méi)有明確的漏洞管理計(jì)劃，存在較嚴(yán)重的安全威脅隱患。

研究發(fā)現(xiàn)

• 圍繞可利用性和關(guān)鍵性對(duì)安全風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序是開(kāi)展漏洞管理的首要目標(biāo)。其他關(guān)鍵目標(biāo)還包括未知漏洞識(shí)別和企業(yè)外部攻擊面管理等；
• 影子IT將是企業(yè)未來(lái)漏洞管理中的主要挑戰(zhàn)，這將嚴(yán)重降低企業(yè)對(duì)所有安全風(fēng)險(xiǎn)的可見(jiàn)性。而缺乏專業(yè)的安全人員修復(fù)漏洞是另一個(gè)重大挑戰(zhàn)；
• 威脅情報(bào)在漏洞管理中的應(yīng)用不足，有53%的受訪者表示他們的組織還沒(méi)有使用第三方威脅情報(bào)，例如滲透測(cè)試、漏洞披露以及IP或域名聲譽(yù)評(píng)分；
• 目前的漏洞修補(bǔ)時(shí)間過(guò)長(zhǎng)。只有18%的受訪者表示漏洞會(huì)在發(fā)現(xiàn)后的24小時(shí)內(nèi)修復(fù)，62%的受訪者表示需要超過(guò)48小時(shí)或更長(zhǎng)時(shí)間來(lái)修復(fù)已知的嚴(yán)重漏洞；
• 利用漏洞發(fā)起的攻擊比以往任何時(shí)候都更加復(fù)雜。過(guò)半數(shù)受訪者表示他們能夠感受到攻擊的復(fù)雜性正在增加。

漏洞管理現(xiàn)狀調(diào)查

1.企業(yè)實(shí)施漏洞管理計(jì)劃（VMP）的目標(biāo)是什么？

調(diào)查顯示，當(dāng)被問(wèn)及“您認(rèn)為您希望通過(guò)漏洞管理計(jì)劃（VMP）實(shí)現(xiàn)的最高目標(biāo)是什么？”時(shí)，34.9%的受訪者認(rèn)為首要目標(biāo)是“根據(jù)對(duì)組織構(gòu)成的風(fēng)險(xiǎn)確定其漏洞修復(fù)和緩解工作的優(yōu)先級(jí)”，而漏洞的可利用性和暴露資產(chǎn)的重要性將是用于確定其優(yōu)先級(jí)的標(biāo)準(zhǔn)。

【希望通過(guò)漏洞管理計(jì)劃（VMP）實(shí)現(xiàn)的最高目標(biāo)】

2.企業(yè)目前漏洞管理計(jì)劃的有效性如何？

而當(dāng)被問(wèn)及“對(duì)當(dāng)前漏洞管理計(jì)劃的整體有效性的印象”時(shí)，70%的受訪者表示他們的VMP只是有些效果或不太有效，其中34%的受訪者認(rèn)為是無(wú)效的。只有不到三分之一（30.1%）的受訪者表示擁有非常有效的VMP。

【當(dāng)前漏洞管理計(jì)劃的整體有效性】

3.影響漏洞管理計(jì)劃有效性的首要因素是什么？

通過(guò)調(diào)查那些回答稱“擁有非常有效的VMP”的組織，結(jié)果發(fā)現(xiàn)，影響VMP有效性的首要因素（占43%）是其組織內(nèi)部了解漏洞管理的人才。這些組織一般都有吸引和留住頂尖網(wǎng)絡(luò)安全人才的戰(zhàn)略，但鑒于安全行業(yè)正在經(jīng)歷的巨大技能缺口，這種回應(yīng)也表明需要更自動(dòng)化的漏洞管理解決方案。

【影響VMP有效性的關(guān)鍵因素】

4.漏洞管理面臨哪些挑戰(zhàn)？

調(diào)研發(fā)現(xiàn)，“影子IT限制風(fēng)險(xiǎn)暴露的可見(jiàn)性”是本次受訪者認(rèn)為的漏洞安全管理最大挑戰(zhàn)。此外，16.2%的受訪者認(rèn)為“缺乏訓(xùn)練有素的員工來(lái)修復(fù)漏洞”也給漏洞管理造成很多困難。13.9%受訪者認(rèn)為，開(kāi)展常態(tài)化的漏洞掃描與發(fā)現(xiàn)工作難以得到公司管理層的支持。

【漏洞管理面臨的重大挑戰(zhàn)】

5.企業(yè)最常用的漏洞掃描類型是什么？

那么，安全團(tuán)隊(duì)目前正在執(zhí)行什么類型的漏洞掃描呢？結(jié)果幾乎平分秋色，受訪者表示服務(wù)器、應(yīng)用程序和代碼是他們掃描最多的內(nèi)容（各占34%）。另外33.8%為物聯(lián)網(wǎng)和OT設(shè)備；33.5%為云資產(chǎn)；33.3%為網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備（如路由、交換機(jī)等）；32.1%為臺(tái)式機(jī)/筆記本電腦。

【漏洞掃描類型分布】

6.企業(yè)會(huì)在漏洞管理中使用第三方威脅情報(bào)嗎？

當(dāng)詢問(wèn)受訪者“是否利用第三方供應(yīng)商提供威脅情報(bào)數(shù)據(jù)”時(shí)，令人驚訝的結(jié)果是，52.8%的企業(yè)表示他們沒(méi)有從外部資源中獲取有關(guān)漏洞威脅的信息。

【第三方威脅情報(bào)應(yīng)用調(diào)查】

7.企業(yè)是否對(duì)漏洞進(jìn)行風(fēng)險(xiǎn)優(yōu)先級(jí)評(píng)估？

57.5%的受訪者表示，他們的公司沒(méi)有使用基于風(fēng)險(xiǎn)的評(píng)級(jí)系統(tǒng)來(lái)確定漏洞的優(yōu)先級(jí)。因此可以這樣認(rèn)為，多數(shù)公司仍然是以“先識(shí)別、先修復(fù)”的方式來(lái)進(jìn)行漏洞修復(fù)工作。而對(duì)于那些評(píng)估漏洞風(fēng)險(xiǎn)等級(jí)的企業(yè)，他們所依據(jù)的評(píng)估工具包括：52.4%為CVSS評(píng)分；40.8%為資產(chǎn)重要性；39.2%為補(bǔ)償控制；38.1%為威脅情報(bào)源。

【漏洞風(fēng)險(xiǎn)等級(jí)評(píng)估工具】

8.企業(yè)是否對(duì)漏洞修補(bǔ)時(shí)間有明確要求？

單個(gè)漏洞在網(wǎng)絡(luò)或應(yīng)用程序中存在的時(shí)間量通常取決于漏洞帶來(lái)的風(fēng)險(xiǎn)。只有28.2%的受訪者表示他們的組織已經(jīng)標(biāo)準(zhǔn)化了服務(wù)水平協(xié)議（SLA），以明確修復(fù)漏洞的速度。但需要注意的是，不使用基于風(fēng)險(xiǎn)的優(yōu)先級(jí)方案的組織將難以構(gòu)建有意義的SLA。

而在這些明確修復(fù)漏洞速度的企業(yè)中，20.4%的企業(yè)表示，他們要求在發(fā)現(xiàn)關(guān)鍵漏洞后48小時(shí)內(nèi)對(duì)其進(jìn)行修補(bǔ)；15.9%的企業(yè)在72小時(shí)內(nèi)修復(fù)；16.2%的企業(yè)在1周內(nèi)修復(fù)；15.9%的企業(yè)在2周內(nèi)修復(fù)。只有17.8%的企業(yè)表示這些CVSS評(píng)分9.0及以上的高危漏洞需要在發(fā)現(xiàn)后的24小時(shí)內(nèi)進(jìn)行修復(fù)。

【漏洞修復(fù)時(shí)間】

9.漏洞數(shù)量的增長(zhǎng)趨勢(shì)如何？

報(bào)告研究發(fā)現(xiàn)，在過(guò)去12個(gè)月中，跟蹤漏洞數(shù)量的公司中有58%的報(bào)告稱漏洞數(shù)量翻了一番、三倍或四倍。其中，17.3%報(bào)告翻了一番；21.8%報(bào)告翻了三倍；19.3%報(bào)告翻了四倍。只有22.2%的報(bào)告稱漏洞數(shù)量沒(méi)有增加，19.6%的報(bào)告稱觀察的漏洞數(shù)量減少了。

盡管漏洞在增加并且攻擊的復(fù)雜性也在增加，但大多數(shù)組織仍然沒(méi)有對(duì)漏洞進(jìn)行風(fēng)險(xiǎn)評(píng)估，不依賴外部威脅情報(bào)，或者規(guī)定必須以多快的速度修補(bǔ)漏洞。對(duì)于正面臨日益嚴(yán)峻的威脅形勢(shì)的現(xiàn)代組織來(lái)說(shuō)，這些都不利于可持續(xù)性發(fā)展。

【過(guò)去一年中，跟蹤到的漏洞數(shù)量變化狀態(tài)】

10.企業(yè)最關(guān)注的漏洞管理事項(xiàng)是什么？

16.9%的受訪者表示，其所在的企業(yè)將會(huì)購(gòu)買新工具或升級(jí)他們現(xiàn)有的漏洞評(píng)估工具；14.7%的受訪者表示需要提高企業(yè)的安全風(fēng)險(xiǎn)可見(jiàn)性，實(shí)現(xiàn)100%的本地和云上資產(chǎn)漏洞掃描覆蓋率；14.5%的受訪者表示要改進(jìn)漏洞管理制度中的溝通和報(bào)告流程；13.6%的受訪者表示要雇用更多受過(guò)漏洞管理培訓(xùn)的員工；13.3%要實(shí)施基線安全配置并掃描合規(guī)性；12.4%的受訪者則表示要添加攻擊模擬的功能。

【未來(lái)一年企業(yè)在漏洞管理中的重點(diǎn)工作】

11.企業(yè)用于漏洞管理的預(yù)算會(huì)如何變化？

當(dāng)被問(wèn)及未來(lái)12個(gè)月他們所在企業(yè)的漏洞管理預(yù)算將如何變化時(shí)，36.6%參與預(yù)算相關(guān)決策的人預(yù)計(jì)預(yù)算會(huì)增加，34%認(rèn)為預(yù)算會(huì)基本持平，而有29.3%的人預(yù)計(jì)他們的預(yù)算會(huì)縮減。

【未來(lái)一年漏洞管理預(yù)算變化】

24.4%的受訪者預(yù)計(jì)漏洞管理預(yù)算會(huì)呈現(xiàn)26%至50%的適度增長(zhǎng)，只有21.7%的人預(yù)計(jì)會(huì)低于這個(gè)水平（25%及以下）。此外，17.3%的人樂(lè)觀地認(rèn)為預(yù)算會(huì)增長(zhǎng)51%-75%；20.8%的人認(rèn)為預(yù)算會(huì)增長(zhǎng)76%-100%；甚至15.7%的人期待預(yù)算增加100%或更多。

【未來(lái)一年企業(yè)漏洞管理預(yù)算增長(zhǎng)率】

參考鏈接：

https://www.nopsec.com/wp-content/uploads/2022/06/NopSec-State-of-Vulnerability-Management-Report-2022.pdf?