漏洞补丁如何打? 优选是关键

作者:nana, 星期四, 一月 31, 2019
来源:https://www.aqniu.com/learn/43534.html

该报告分析了超过500个机构管理的30亿个漏洞。这个庞大的数据集中,研究人员判断约有5.44亿个漏洞可被评定为高风险漏洞。好消息是,70%的高危漏洞已有补丁可用。坏消息是,还有1.63亿个漏洞大门洞开。

Kenna Security 首席技术官 Ed Bellis 向媒体表示:

理想状况下,公司企业应修复自身基础设施中的每个漏洞,但我们知道,现实是他们没有时间也没有资源这么做。因此,安全团队和IT团队需要为自己的修复工作排个优先顺序,优先修复风险最高的漏洞,然后在时间和资源允许的情况下再解决其他漏洞。

另外,已公布的CVE中,仅5%有现成的漏洞利用程序。本项研究中发现的5.44亿漏洞就对应企业环境中有已知漏洞利用程序的那5%的CVE。

Bellis表示,除了是否存在漏洞利用程序,Kenna Security 平台还运用多种因素计算风险,包括资产关键性、全球攻击规模与速度、攻击类型、漏洞描述元数据及资产暴露面等。

总体上,即便有补丁可用,公司企业也未必已部署该补丁。我们没有深入探寻此类漏洞未修复的原因,但可能的原因有很多。

研究还发现,虽然微软各条产品线上漏洞之多几成业界笑话,公司企业总体上对微软系产品的漏洞修复却更为有效。

其中原因可能是微软Office之类应用的修复通常不会造成太久的业务中断,且微软的周二补丁日等现行项目也对使用微软软件的公司企业产生了非常积极的影响。

周二补丁日是微软定期向用户提供补丁的日子,通常在每月第二个周二。

公司企业需要根据对自家公司的固有风险来给漏洞排出优先顺序,重点突出、有的放矢才能高效抵御当今这庞大的威胁界面。

《从优选到预测:真正的修复》报告地址:

 

https://www.kennasecurity.com/when-vulnerability-management-stops-being-polite-and-starts-getting-real/

不管是CVE还是NVD 好多漏洞都被忽略

调查:新漏洞的出现速度比安全团队的修复速度更快