專欄

未修复漏洞依然是很多公司的主要安全问题。

公司企业承受着不断增长的有效漏洞与补丁管理实现压力：近期多起数据泄露事件中，攻击者展现出利用未修复软件缺陷获取关键企业应用及系统访问权的趋势。甚至相对较老和很久以前修复的漏洞都还在被利用。

永恒之蓝 (EternalBlue) 就是其中一个例子。这是针对微软服务器消息块 (SMB) 协议漏洞的一个漏洞利用程序，由美国国家安全局(NSA)开发，后遭泄露。尽管微软早在 2017 年初就修复了此远程代码执行漏洞，直到今年 6 月仍有近 100 万系统未打补丁——其中仅美国就占了40万台。攻击者大肆利用该漏洞投放银行木马程序和其他恶意软件。

云迁移和企业移动性等数字化转型倡议与趋势也大幅扩张了企业攻击界面，进一步强调了巩固漏洞预防、检测与缓解策略的重要性。近些年兴起的DevOps、持续集成与交付(CI/CD)，以及其他应用开发与交付模型，同样关注尽量在软件开发生命周期早期阶段集成漏洞扫描和修复。

公司企业若想要实现正式的漏洞与补丁管理项目，需关注八个主要趋势。

1. 大量数据泄露事件涉及未修复漏洞

本年度企业数据泄露事件中，60% 涉及未打上补丁的安全漏洞。波耐蒙研究所最近受 ServiceNow 委托，针对3,000家企业进行了调查研究。结果显示，相比 2018 年，今年由于漏洞修复延迟而导致的企业停工增加了 30%。

企业出于多种原因没有尽快修复漏洞：没意识到潜在可致数据泄露的漏洞、各部门各自为战和派系斗争、资源缺乏，以及缺乏对应用和资产的共识。报告指出，受访者还称“攻击者以机器学习/人工智能等技术超越了公司”。

2. 漏洞管理压力推动员工聘用

近 70% 的受访公司称计划在来年雇佣至少五名员工专门负责漏洞管理。企业在漏洞管理人员上的预期平均年度开支为：65 万美元。

除了增加人手，很多企业也在转向运用自动化应对漏洞修复挑战。45%的受访者称可通过自动化补丁管理过程减少修复耗时。70%的受访者表示，如果负责数据泄露的律所要求的话，会实现更好的补丁管理过程。

3. 监管激发漏洞管理项目部署

大多数数据安全监管规定，比如 PCI DSS 和 HIPAA，要求受管辖的实体设置漏洞管理项目。毫无意外，SANS 研究所受Bromium委托进行的一项调查中，84% 的受访企业报告称已设置有相应项目。其中约 55% 称有正式的漏洞管理项目，其他则将自身项目描述为非正式的。约15%称计划在来年实现漏洞管理项目。

该调查还发现，大部分设置有漏洞管理项目的企业采用风险评分过程确定安全漏洞关键性。其中 1/3 称有正式的风险评分过程，近19%的风险评估过程为非正式的。调查显示，用于风险评分的几个常见因素包括 CVSS 严重度、商业资产关键性、威胁情报馈送得分，以及供应商严重度评分。

4. 预防、检测和修复漏洞的成本在增加

本年度，公司企业和其他组织花费在监视系统漏洞与威胁上的时间为平均每周 139 小时，修复应用及系统的时间是平均每周 206 小时;去年这两个数值分别为127小时和 153 小时。ServiceNow/波耐蒙研究的这份调查研究表明，从每周耗时数字看，组织机构今年耗费在漏洞及修复相关工作上的时间将超过2.3万小时。

调查发现，企业花在预防、检测、修复、记录和报告补丁管理过程及修复所致停工上的开销为平均每周 27,688 美元，也就是每年 144 万美元。相比2018年的 116 万企业开支，这一数字今年高出了 24.4%。

5. 漏洞扫描频率影响响应时间

DevOps 安全测试公司Veracode的研究显示，更频繁扫描应用的公司比不那么经常扫描的公司在修复漏洞上要快得多。这家安全供应商发现，每天都扫描自身代码的软件开发公司仅需19天的中位时间就能修复漏洞，而每个月扫描次数在一次及以下的公司，这一时间是 68 天。

Veracode透露，约半数应用在其软件中积累老旧和未解决漏洞，或者说安全欠账，因为开发团队倾向于先关注更新的漏洞。这一趋势在增加公司企业的数据泄露风险。Veracode声称：扫描频率最低的那1/3 的应用，其安全欠账五倍于扫描频率最高的那 1% 的应用。

数据显示，频繁扫描不仅有助于公司找出疏漏，还有助于大幅降低网络风险。Veracode 表示：公司企业必须在处理新安全发现的同时清理掉旧有的那些。

6. 多数公司补丁部署耗时少于一周

Tripwire 资助的一项针对 340 名信息安全人员的研究发现，9%的企业一获得安全补丁就会立即部署，49%在七天内部署。余下的企业安全补丁部署耗时在两周到一年以上。比如说，16% 的受访企业称在两周内部署补丁，19%在一个月内，6% 在三个月内。

安全厂商 Tripwire 调查中的大部分企业 (40%) 每月修复漏洞数量少于 10 个，29% 在同样时限内部署 10 到50个补丁。但是，相对较少部分的企业似乎在 30 天内修复多得多的漏洞。例如，9% 的受访企业声称每月修复 50 到 100 个漏洞，6%的企业这一数字超过100。还有 15% 称根本算不清自家公司每月修复了多少安全漏洞。

7. 多种因素拖累修复脚步

尽管多数安全公司理解即时修复的重要性，但该过程受到多种原因的阻碍。ServiceNow /波耐蒙研究所的调查中，76% 的受访者称，原因之一是IT和安全团队缺乏对应用和资产的共识。几乎同样比例 (74%) 的受访者称，公司的漏洞修复过程常因下线关键应用和系统的考虑而受到延迟。对72%的公司而言，补丁优先顺序是主要问题。人手是另一个原因，仅 64% 的受访者称拥有足够人手及时部署补丁。

调查揭示，大部分 (31%) 公司是 IT 运营团队负责补丁部署。26% 的公司由安全运营团队负责此事，17% 的公司是CISO的团队负责。计算机安全事件响应团队 (CSIRT) 负责补丁部署的企业占 12%。

8. 多数公司想快速获得补丁

发现软件安全漏洞时，多数公司希望开发人员能快速解决该问题。被问及漏洞发现和补丁发布之间的可接受时间框架时，18% 的Tripwire调查受访者称不接受任何等待。约半数 (48%) 称愿意给开发人员七天时间来发布补丁，16%觉得两周也可以接受。令人惊讶的是，17%的受访者称，如果需要的话，登上半年也是可以的。

Tripwire的调查显示，大部分公司企业希望软件开发人员持续发布产品补丁——即使产品已超出使用期限。36%的受访者希望开发人员在到期一到两年后仍发布补丁，15%希望产品在三到五年间仍受支持。有趣的是，11%的受访者称，供应商在产品到期时立即停止所有补丁支持也行。

• Bromium 调查报告：https://www.bromium.com/wp-content/uploads/2019/04/Survey_Vulnerability-2019_Bromium.pdf
• Tripwire 调查报告：https://www.tripwire.com/state-of-security/wp-content/uploads/sites/3/Tripwire-Dimensional-Research-VM-Survey.pdf

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文