亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

大量數(shù)據(jù)和案例表明，雖然漏洞評估和管理工具不斷豐富，但是漏洞管理重在“管理”，企業(yè)的漏洞管理或脆弱性風(fēng)險(xiǎn)相關(guān)管理依然存在很大的改進(jìn)空間，例如，人才資金匱乏、缺乏對漏洞風(fēng)險(xiǎn)和受影響資產(chǎn)的感知能力、企業(yè)孤島和部門戰(zhàn)爭、漏洞修復(fù)效率低下等。與此同時(shí)，漏洞風(fēng)險(xiǎn)正隨著攻擊技術(shù)的快速升級而增加，例如攻擊者在利用機(jī)器學(xué)習(xí)/人工智能技術(shù)方面已經(jīng)超越了防御者。

以下，我們匯總歸納了2020年的全球八大漏洞管理趨勢：

一、數(shù)據(jù)泄露大多與漏洞未修補(bǔ)有關(guān)

雖然網(wǎng)絡(luò)安全工具和方法日新月異，但漏洞管理始終是企業(yè)網(wǎng)絡(luò)安全的致命環(huán)節(jié)，近年來60%的企業(yè)數(shù)據(jù)泄露與安全漏洞未得到修補(bǔ)有關(guān)。根據(jù)Ponemon Institute針對對近3,000個(gè)組織進(jìn)行的最新調(diào)查顯示，與2018年相比，2019年未能及時(shí)修補(bǔ)漏洞導(dǎo)致的停機(jī)給企業(yè)造成的損失增加了30％。

二、招兵買馬+流程自動(dòng)化

根據(jù)ServiceNow / Ponemon的調(diào)查，70%的企業(yè)表示，他們計(jì)劃在2020年雇用至少五名員工來進(jìn)行漏洞管理。對于這些員工，企業(yè)的預(yù)期平均年成本為：650,000美元。

除了增加人員外，許多企業(yè)都將自動(dòng)化作為應(yīng)對補(bǔ)丁挑戰(zhàn)的一種方式。45％的受訪者表示，他們可以通過自動(dòng)執(zhí)行補(bǔ)丁管理流程來縮短補(bǔ)丁時(shí)間。70％的人說，如果法律迫使公司對數(shù)據(jù)泄露負(fù)責(zé)，他們將實(shí)施更好的補(bǔ)丁管理流程。

三、法規(guī)推動(dòng)漏洞管理程序的部署

大多數(shù)據(jù)安全法規(guī)，例如PCI DSS和HIPAA，都要求合規(guī)實(shí)體具備漏洞管理程序。毫不奇怪，根據(jù)SANS研究所的調(diào)查，有84％的企業(yè)建立了漏洞管理程序，其中大約55％的已經(jīng)制定了正式的漏洞管理計(jì)劃。另有15％的企業(yè)表示計(jì)劃在未來12個(gè)月內(nèi)實(shí)施漏洞管理程序。

該調(diào)查還發(fā)現(xiàn)，大多數(shù)實(shí)施了漏洞管理程序的企業(yè)都使用風(fēng)險(xiǎn)評級指標(biāo)來確定安全漏洞的嚴(yán)重性。三分之一的受訪者表示，他們已經(jīng)制定了正式的風(fēng)險(xiǎn)評估程序，而將近19％的受訪者已制定了非正式的評估風(fēng)險(xiǎn)程序。根據(jù)調(diào)查，用于漏洞風(fēng)險(xiǎn)評級的一些最常見指標(biāo)包括CVSS嚴(yán)重性評分、業(yè)務(wù)資產(chǎn)的重要性、來自威脅情報(bào)源的評分以及供應(yīng)商嚴(yán)重性評級。

四、企業(yè)漏洞預(yù)防、檢測和修補(bǔ)的成本正在上升

2019年，企業(yè)平均每周花費(fèi)139小時(shí)監(jiān)控系統(tǒng)的漏洞和威脅，每周花費(fèi)206小時(shí)來修補(bǔ)應(yīng)用程序和系統(tǒng)。相比2018年的時(shí)間成本（127小時(shí)監(jiān)控、153小時(shí)修復(fù)），尤其是漏洞修補(bǔ)的時(shí)間成本有較大幅度增長。 根據(jù)ServiceNow / Ponemon的調(diào)查，今年企業(yè)將在與漏洞和補(bǔ)丁相關(guān)的任務(wù)上平均花費(fèi)23,000多個(gè)小時(shí)。

調(diào)查發(fā)現(xiàn)，2019年企業(yè)用于預(yù)防、檢測、修補(bǔ)、記錄和報(bào)告的漏洞管理工作平均每周費(fèi)用為27688美元，與修補(bǔ)程序相關(guān)的停機(jī)時(shí)間損失每年約144萬美元，后者比2018年的116萬美元高出約24.4％。

五、漏洞管理掃描頻率與響應(yīng)時(shí)間

根據(jù)Veracode的研究，與掃描頻率較低的企業(yè)相比，掃描頻率較高的企業(yè)在補(bǔ)救漏洞方面往往要快得多。該安全供應(yīng)商發(fā)現(xiàn)，每天掃描其代碼的軟件開發(fā)組織所需的漏洞修補(bǔ)中位時(shí)間僅為19天，而每月掃描一次或更少時(shí)間的軟件開發(fā)組織則為68天。

據(jù)Veracode稱，所有應(yīng)用程序中，約有一半軟件出現(xiàn)了老舊和未解決的漏洞（也稱安全債），因?yàn)殚_發(fā)團(tuán)隊(duì)往往首先關(guān)注于更新的漏洞。這種趨勢正在增加組織的數(shù)據(jù)泄露風(fēng)險(xiǎn)。Veracode表示：“掃描頻率最高的前1％應(yīng)用程序所承擔(dān)的安全債比最低的三分之一低大約五倍?！?/p>

數(shù)據(jù)表明，頻繁掃描不僅可以幫助公司更快發(fā)現(xiàn)漏洞，還可以幫助他們大大降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。但是，根據(jù)安全牛《2020高效漏洞管理現(xiàn)狀與趨勢報(bào)告》，掃描頻率并非越高越好，而是應(yīng)該與其他漏洞管理流程環(huán)節(jié)的節(jié)奏相匹配，例如，你的漏洞修復(fù)節(jié)奏是每月一次，那么每天掃描也無助于改善結(jié)果。理想的狀態(tài)是掃描頻率與修復(fù)節(jié)奏同步，而且在變更時(shí)能夠自動(dòng)執(zhí)行掃描。

六、“打補(bǔ)丁”周期少于一周

根據(jù)Tripwire的一項(xiàng)針對340位信息安全專業(yè)人員的調(diào)查，已經(jīng)有9％的企業(yè)在獲得安全補(bǔ)丁后立即部署了該補(bǔ)丁，49％的企業(yè)能在7天內(nèi)完成補(bǔ)丁安裝。有16％的企業(yè)表示他們在不到兩周的時(shí)間內(nèi)就部署了補(bǔ)丁程序，19％的企業(yè)表示花了長達(dá)一個(gè)月的時(shí)間，而6％的企業(yè)在三個(gè)月內(nèi)安裝了補(bǔ)丁程序。

Tripwire調(diào)查顯示，多達(dá)40％的企業(yè)每月修補(bǔ)的漏洞少于10個(gè)，29％的企業(yè)每月修補(bǔ)10-50個(gè)漏洞。9％的企業(yè)表示他們每月修補(bǔ)50至100個(gè)漏洞，而有6％的企業(yè)每月修補(bǔ)的漏洞數(shù)量超過100個(gè)。令人驚訝的是，有15％的企業(yè)表示他們不知道自己每月修補(bǔ)了多少個(gè)安全漏洞。

七、多種因素導(dǎo)致補(bǔ)丁延遲

盡管大多數(shù)安全企業(yè)都了解及時(shí)修補(bǔ)漏洞的重要性，但由于各種原因，該過程可能會(huì)延遲。在Ponemon的調(diào)查中，大多數(shù)（76％）的受訪者表示，原因之一是IT和安全團(tuán)隊(duì)之間對應(yīng)用程序和資產(chǎn)缺乏統(tǒng)一的看法。幾乎相同的比例（74％）受訪者表示，由于擔(dān)心導(dǎo)致關(guān)鍵應(yīng)用程序和系統(tǒng)停機(jī)，他們的修補(bǔ)過程經(jīng)常被延遲。對于72％的用戶，補(bǔ)丁優(yōu)先級是導(dǎo)致延遲的主要問題。人員配備是另一個(gè)原因，只有64％的受訪者表示他們有足夠的人手及時(shí)部署補(bǔ)丁。

調(diào)查顯示，IT運(yùn)營團(tuán)隊(duì)負(fù)責(zé)修補(bǔ)大多數(shù)漏洞（31％），安全運(yùn)營團(tuán)隊(duì)負(fù)責(zé)組織中26％的漏洞修補(bǔ)任務(wù)，而CISO團(tuán)隊(duì)為17％，計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)（CSIRT）負(fù)責(zé)12％的企業(yè)漏洞修復(fù)工作。

八、對補(bǔ)丁延誤的容忍度在降低

在軟件中發(fā)現(xiàn)安全漏洞后，大多數(shù)企業(yè)都希望開發(fā)人員能夠迅速采取行動(dòng)來解決問題。Tripwire的調(diào)查顯示，當(dāng)受訪者被問及他們認(rèn)為在漏洞發(fā)現(xiàn)與補(bǔ)丁發(fā)布之間可接受的時(shí)間范圍時(shí)，有18％的人表示不接受任何等待。大約一半（48％）的人表示，他們愿意給開發(fā)者7天的時(shí)間來發(fā)布補(bǔ)丁，而16％的人接受在兩周的時(shí)間內(nèi)發(fā)布補(bǔ)丁程序。令人驚訝的是，有17％的人表示，如果需要，他們可以接受花費(fèi)六個(gè)月時(shí)間等待補(bǔ)丁程序。

調(diào)查顯示，企業(yè)普遍期望軟件開發(fā)人員即使在產(chǎn)品到期后仍會(huì)繼續(xù)發(fā)布產(chǎn)品補(bǔ)丁。36％的人表示，他們希望開發(fā)人員在產(chǎn)品生命周期結(jié)束后的一到兩年內(nèi)發(fā)布補(bǔ)丁，而15％的人希望產(chǎn)品在三到五年內(nèi)得到支持。有趣的是，有11％的人表示可以接受供應(yīng)商在產(chǎn)品到期時(shí)立即停止所有補(bǔ)丁程序支持。