無論怎麼努力企業也只能修復10%的漏洞?
最新研究表明,大部分組織機構正在竭盡所能趕上漏洞出現的速度。
衡量安全性不缺乏度量標準——從漏洞和攻擊的數量到拒絕服務攻擊每秒的位元組數。最近一份報告研究了組織機構需要多長時間來修復他們的系統漏洞,以及他們實際上修復的漏洞數量。
Kenna Security和the Cyentia研究所釋出的報告《預測的優先次序第三卷:贏取修復競賽》,帶來了一些令人沮喪同時又讓人驚訝的發現。
令人沮喪的發現是統計資料表明,企業只有能力修復其網路中10%的漏洞。公司規模對這一百分比的影響不大。
Kenna Security的首席技術官兼聯合創始人Ed Bellis表示:
無論是否是一個小型企業,在一段特定時間內平均有10到100個漏洞,他們能夠修復的漏洞比例和大型企業大致相同,即使這些大型企業每個月有超過1000萬個開放漏洞。
換句話說,Bellis表示修復能力發展的速度與漏洞增長的速度大致相同。the Cyentia研究所的合夥人兼聯合創始人Wade Baker表示:規模問題讓我們意識到,可能在特定的時間範圍內,組織機構能夠解決的問題存在一個上限。
漏洞修復的速度因軟體釋出者而異。Bellis表示,微軟和谷歌的軟體漏洞往往能被大大小小的組織機構快速修復。修復時間最長的軟體呢?老式軟體和內部開發的程式碼。
不同行業的公司之間在補救時間上也存在巨大差異。投資,運輸和石油/天然氣/能源排在前面,能在最短時間內修復75%的被利用漏洞,在短短112天內就達成了這一目標。醫療、保險和零售/貿易需要的修復時間最長,達成目標花費了447天。
資料顯示,一些組織機構能夠做得比平均水平更好——在某些情況下,能夠修復的漏洞比發現的漏洞更多,實際上領先於問題,走在了前面。研究人員尚不清楚的是,這些高績效的公司正在做什麼與眾不同的工作。他們表示,這將是他們下一個研究主題。