漏洞与补丁管理的八大趋势

未修复的漏洞仍然是许多公司的主要安全问题。

公司在实施有效漏洞和补丁管理方面面临越来越大的压力:在最近的数据泄漏事件中，攻击者倾向于使用未修复的软件缺陷来访问关键的企业应用程序和系统。即使是很久以前修复的相对老的漏洞仍然被利用。

EternalBlue就是一个例子。这是针对微软服务器消息块协议漏洞的漏洞利用程序。它是由国家安全局开发的，后来被泄露出去。尽管微软早在2017年就修复了这个远程代码执行漏洞，但截至今年6月，仍有近100万个系统尚未修补，其中仅在美国就有40万个。攻击者利用该漏洞启动银行特洛伊木马程序和其他恶意软件。

云迁移和企业移动性等数字转型计划和趋势也极大地扩展了企业攻击界面，进一步强调了整合漏洞预防、检测和缓解策略的重要性。近年来出现的DevOps、持续集成和交付(CI/CD)以及其他应用程序开发和交付模型也侧重于在软件开发生命周期中尽早集成漏洞扫描和修复。

如果公司想要实施正式的漏洞和补丁管理项目，他们需要关注八大趋势。

1. 大量数据泄露事件涉及未修复漏洞

今年60%的公司数据泄露涉及未修补的安全漏洞。邦纳蒙研究所最近受ServiceNow委托，对3000家企业进行研究。结果显示，与2018年相比，今年因漏洞修复延迟导致的业务中断数量增加了30%。

企业没有尽快修补漏洞有多种原因:他们没有意识到漏洞可能导致数据泄露，各部门互相争斗，缺乏资源，在应用程序和资产方面缺乏共识。该报告指出，受访者还声称，“攻击者在机器学习/人工智能等技术方面已经超越了该公司”。

2. 漏洞管理压力推动员工聘用

近70%的受访公司表示，他们计划在未来一年雇佣至少五名员工负责漏洞管理。企业在漏洞管理人员方面的预期平均年支出为65万美元。

除了增加人力，许多业也转向自动化来应对漏洞修复的挑战。45%的受访者表示，通过自动化补丁管理流程，可以缩短修复时间。70%的受访者表示，如果负责数据披露的律师事务所要求，将实施更好的补丁管理流程。

3. 监管激发漏洞管理项目部署

大多数数据安全法规，如PCI DSS和HIPAA，要求受监管实体设置漏洞管理程序。毫不奇怪，在布罗姆姆委托的一项调查中，84%的受访企业报告说已经建立了相应的项目。大约55%的人说他们有正式的漏洞管理程序，而其他人说他们自己的程序是非正式的。约15%的受访者表示，他们计划在明年实施漏洞管理项目。

调查还发现，大多数有漏洞管理计划的企业采用风险评分流程来确定安全漏洞的关键程度。三分之一的人说有一个正式的风险评分过程，将近19%的风险评估过程是非正式的。调查显示，用于风险评分的几个常见因素包括CVSS严重程度、商业资产严重程度、威胁情报反馈评分和供应商严重程度评分。

4. 预防、检测和修复漏洞的成本在增加

今年，公司和其他组织平均每周花费139小时监控系统漏洞和威胁，平均每周花费206小时修复应用程序和系统。去年，这两个数字分别是127小时和153小时。根据ServiceNow/Bonnemon研究公司进行的调查，该组织今年将根据每周的时间消耗数字，在漏洞和修复相关工作上花费23，000多个小时。

调查发现，企业预防、检测、修复、记录和报告补丁程序管理流程和修复导致的停机时间的平均成本为每周27，688美元，即每年144万美元。这一数字比2018年的116万企业支出高24.4%。

5. 漏洞扫描频率影响响应时间

Veracode透露，大约一半的应用程序在其软件中积累了旧的和未解决的漏洞，或安全债务，因为开发团队倾向于首先关注更新的漏洞。这种趋势增加了公司数据泄露的风险。Veracode声称，扫描频率最低的应用程序的安全债务是扫描频率最高的应用程序的五倍。

数据显示，频繁扫描不仅有助于公司发现遗漏，而且有助于大大降低网络风险。Veracode说:公司在处理新的安全发现时，必须清理旧的。一项由

6. 多数公司补丁部署耗时少于一周

Tripwire资助的对340名信息安全人员的研究发现，9%的企业一拿到安全补丁就部署，49%的企业在7天内部署。其余企业安全补丁的部署需要两周到一年多的时间。例如，16%接受调查的企业表示将在两周内部署补丁，19%在一个月内部署，6%在三个月内部署。

安全供应商Tripwire调查的大多数企业(40%)每月修复不到10个漏洞，29%的企业在同一时间框架内部署了10到50个补丁。然而，相对较少的企业似乎在30天内修复了更多的漏洞。例如，9%的被调查企业声称每月修复50到100个漏洞，而6%的企业声称这个数字超过100个。另有15%的人表示，他们的公司每月修复多少安全漏洞还不清楚。

7. 多种因素拖累修复脚步

尽管大多数安全公司都明白立即修复的重要性，但这一过程受到许多原因的阻碍。在ServiceNow/Bonnemon研究所的调查中，76%的受访者表示，原因之一是信息技术和安全团队在应用程序和资产方面缺乏共识。几乎相同比例(74%)的受访者表示，由于考虑离线关键应用程序和系统，公司的漏洞修复流程经常会延迟。对于72%的公司来说，补丁优先级是主要问题。人员配备是另一个原因，只有64%的受访者表示他们有足够的人员及时部署补丁。

调查显示，大多数(31%)公司是负责补丁部署的信息技术运营团队。26%的公司负责安全运营团队，17%的公司负责CISO团队。计算机安全事件响应小组(CSIRT)负责12%的企业部署补丁。当

8. 多数公司想快速获得补丁

发现软件安全漏洞时，大多数公司希望开发人员能迅速解决问题。当被问及漏洞发现和补丁发布之间可接受的时间框架时，18%的Tripwire调查受访者表示他们不会接受任何等待。大约一半(48%)的人说他们愿意给开发者七天时间发布补丁，而16%的人认为两周是可以接受的。令人惊讶的是，17%的受访者表示，如果有必要，上半年可以注册。

Tripwire调查显示，大多数公司希望软件开发人员继续发布产品补丁——，即使产品已经超过了使用寿命。36%的受访者预计开发人员会在补丁过期一到两年后发布，15%的受访者预计产品将在三到五年内得到支持。有趣的是，11%的受访者表示，产品到期后，供应商可以立即停止所有补丁支持。