《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 與漏洞共存 基于風(fēng)險(xiǎn)的漏洞管理讓企業(yè)更從容應(yīng)對(duì)安全威脅

與漏洞共存 基于風(fēng)險(xiǎn)的漏洞管理讓企業(yè)更從容應(yīng)對(duì)安全威脅

2022-11-13
來源:安全419
關(guān)鍵詞: 漏洞 安全威脅

  在過去五年中,,美國(guó)國(guó)家漏洞數(shù)據(jù)庫 (NVD) 每年都會(huì)打破上一年度的報(bào)告漏洞數(shù)量記錄,,毫無疑問,2022年也將是如此,,據(jù)業(yè)內(nèi)統(tǒng)計(jì),,迄今為止 2022 年平均每天會(huì)出現(xiàn)60多個(gè)新漏洞。

  隨著威脅態(tài)勢(shì)的愈發(fā)嚴(yán)峻,,安全團(tuán)隊(duì)已經(jīng)無法跟上漏洞報(bào)告的速度,,因疲于應(yīng)對(duì)不斷爆發(fā)的安全漏洞,一些安全從業(yè)者甚至已經(jīng)對(duì)安全工作表現(xiàn)出了厭倦,。

  事實(shí)上,,試圖修復(fù)一切漏洞并不是一項(xiàng)正確的決策。來自安全公司Kenna與Cyentia 研究所的一項(xiàng)數(shù)據(jù)研究證明,,基于風(fēng)險(xiǎn)的漏洞管理 (RBVM) 方法已經(jīng)成為企業(yè)安全建設(shè)的核心思想,,相比緊追漏洞報(bào)告修復(fù)漏洞的工作模式而言,采用RBVM風(fēng)險(xiǎn)管理模式的組織顯然能夠以更輕松的姿態(tài)在安全建設(shè)工作中取得更好的結(jié)果,。

  在過去,,人們十分避諱“與漏洞風(fēng)險(xiǎn)共存”,每個(gè)人都將漏洞管理視為一個(gè)無足輕重的話題,。但很少有組織能夠真正達(dá)到全部漏洞都已修復(fù)的狀態(tài),,因?yàn)檫@一目標(biāo)的實(shí)現(xiàn)往往意味著大量人力,、財(cái)力和物力資源的無意義消耗,大量的時(shí)間都會(huì)被浪費(fèi)在修補(bǔ)那些構(gòu)不成真正威脅的漏洞上,。

  Cyentia 研究所發(fā)現(xiàn),,當(dāng)前23%的已報(bào)告漏洞均發(fā)布了漏洞利用代碼,但只有2% 的漏洞已在野外觀察到漏洞利用的情況,,因此,,假設(shè)組織基于風(fēng)險(xiǎn)情報(bào)集中力量?jī)?yōu)先補(bǔ)救關(guān)鍵漏洞,那將大大減少安全人員的工作壓力,。

  這項(xiàng)聯(lián)合研究對(duì)Kenna監(jiān)測(cè)到的組織對(duì)漏洞的修復(fù)能力,、速度、覆蓋率和效率等多個(gè)維度的數(shù)據(jù)進(jìn)行了統(tǒng)計(jì)分析,,分享了一個(gè)優(yōu)秀的RBVM 工作方法為相關(guān)組織提供安全指引:

  微信圖片_20221113131208.png

  上圖左側(cè)的百分比容量代表著被監(jiān)測(cè)組織平均每個(gè)月修復(fù)的漏洞數(shù)量,,因此可以看到,無論是處于哪一個(gè)安全基線的組織都在修復(fù)大量的公開漏洞,,安全實(shí)力卓越的組織針對(duì)公開漏洞的修復(fù)速度有了很大的提升,。

  微信圖片_20221113131211.png

  從這一張統(tǒng)計(jì)分析圖中能夠看到,隨著時(shí)間的推移,,相比2016年時(shí),,公開漏洞的修復(fù)效率已經(jīng)得到了顯著提升,2016年時(shí)漏洞的半衰期(即修復(fù)一半新發(fā)現(xiàn)漏洞所需的時(shí)間)甚至?xí)^ 125 天,。而在過去四年中,,半衰期已從 32 天減少到 21 天,減少了三分之一以上,。

  微信圖片_20221113131213.png

  統(tǒng)計(jì)顯示,,2018年左右,公開漏洞覆蓋率和效率都在35%左右,。通過上圖的曲線比較也可以看到,,漏洞修復(fù)的效率與覆蓋度相關(guān),如果漏洞修復(fù)優(yōu)先級(jí)策略沒有重大變化的話,,改進(jìn)其中一個(gè)指標(biāo)往往會(huì)相應(yīng)的導(dǎo)致令一個(gè)指標(biāo)的下降,。例如,想要增加漏洞修復(fù)的覆蓋范圍,,就必須去補(bǔ)救更多低危漏洞,,但這會(huì)降低關(guān)鍵漏洞的修復(fù)效率。

  此外我們能看到,,自2017年以來報(bào)告的漏洞數(shù)量每年都在增加,,但大量的組織已經(jīng)開始采用基于風(fēng)險(xiǎn)的漏洞管理方法來完成漏洞修復(fù)工作,通過關(guān)注風(fēng)險(xiǎn)來過濾大量無效漏洞帶來的噪音,,這也使得監(jiān)測(cè)到的公開漏洞的修復(fù)效率和覆蓋率都得以持續(xù)的提高,。

  研究最后指出,,在行業(yè)已經(jīng)逐漸探索出更智能的漏洞管理方法的同時(shí),互聯(lián)網(wǎng)平臺(tái)和軟件的供應(yīng)商的響應(yīng)效率也在變得更加高,。以微軟舉例來說,,微軟定期發(fā)布的安全補(bǔ)丁對(duì)于供應(yīng)鏈下游組織修復(fù)漏洞的效率產(chǎn)生了重大的影響,監(jiān)測(cè)數(shù)據(jù)顯示,,絕大多數(shù)組織都在安全更新發(fā)布后的22天內(nèi)修復(fù)了半數(shù)以上的報(bào)告中發(fā)布的漏洞,。

  安全人才的短缺也讓安全形勢(shì)進(jìn)一步復(fù)雜化,但好在漏洞管理的工作方法正在得到優(yōu)化,,組織逐漸意識(shí)到不再需要全部修復(fù)所有的安全漏洞,,而是轉(zhuǎn)換以控制風(fēng)險(xiǎn)的視角來看待自身的安全性,通過采用基于風(fēng)險(xiǎn)的漏洞管理 (RBVM) 方法讓安全工作重新回歸理性,。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。