無論怎麼努力企業也只能修復10%的漏洞？

最新研究表明，大部分組織機構正在竭盡所能趕上漏洞出現的速度。

衡量安全性不缺乏度量標準——從漏洞和攻擊的數量到拒絕服務攻擊每秒的位元組數。最近一份報告研究了組織機構需要多長時間來修復他們的系統漏洞，以及他們實際上修復的漏洞數量。

Kenna Security和the Cyentia研究所釋出的報告《預測的優先次序第三卷：贏取修復競賽》，帶來了一些令人沮喪同時又讓人驚訝的發現。

令人沮喪的發現是統計資料表明，企業只有能力修復其網路中10%的漏洞。公司規模對這一百分比的影響不大。

Kenna Security的首席技術官兼聯合創始人Ed Bellis表示：

無論是否是一個小型企業，在一段特定時間內平均有10到100個漏洞，他們能夠修復的漏洞比例和大型企業大致相同，即使這些大型企業每個月有超過1000萬個開放漏洞。

換句話說，Bellis表示修復能力發展的速度與漏洞增長的速度大致相同。the Cyentia研究所的合夥人兼聯合創始人Wade Baker表示：規模問題讓我們意識到，可能在特定的時間範圍內，組織機構能夠解決的問題存在一個上限。

漏洞修復的速度因軟體釋出者而異。Bellis表示，微軟和谷歌的軟體漏洞往往能被大大小小的組織機構快速修復。修復時間最長的軟體呢？老式軟體和內部開發的程式碼。

不同行業的公司之間在補救時間上也存在巨大差異。投資，運輸和石油/天然氣/能源排在前面，能在最短時間內修復75％的被利用漏洞，在短短112天內就達成了這一目標。醫療、保險和零售/貿易需要的修復時間最長，達成目標花費了447天。

資料顯示，一些組織機構能夠做得比平均水平更好——在某些情況下，能夠修復的漏洞比發現的漏洞更多，實際上領先於問題，走在了前面。研究人員尚不清楚的是，這些高績效的公司正在做什麼與眾不同的工作。他們表示，這將是他們下一個研究主題。