漏洞補丁如何打? 優選是關鍵
摘要:
該報告分析了超過500個機構管理的30億個漏洞。這個龐大的資料集中,研究人員判斷約有5.44億個漏洞可被評定為高風險漏洞。好訊息是,70%的高危漏洞已有補丁可用。壞訊息是,還有1.63億個漏洞大門洞開。
Kenna Security 首席技術官 Ed Bellis 向...
該報告分析了超過500個機構管理的30億個漏洞。這個龐大的資料集中,研究人員判斷約有5.44億個漏洞可被評定為高風險漏洞。好訊息是,70%的高危漏洞已有補丁可用。壞訊息是,還有1.63億個漏洞大門洞開。
Kenna Security 首席技術官 Ed Bellis 向媒體表示:
理想狀況下,公司企業應修復自身基礎設施中的每個漏洞,但我們知道,現實是他們沒有時間也沒有資源這麼做。因此,安全團隊和IT團隊需要為自己的修復工作排個優先順序,優先修復風險最高的漏洞,然後在時間和資源允許的情況下再解決其他漏洞。
著眼這廣袤的威脅場景,該報告指出,
僅約1/3的CVE是真實環境中現實存在的
另外,已公佈的CVE中,僅5%有現成的漏洞利用程式。本項研究中發現的5.44億漏洞就對應企業環境中有已知漏洞利用程式的那5%的CVE。
Bellis表示,除了是否存在漏洞利用程式,Kenna Security 平臺還運用多種因素計算風險,包括資產關鍵性、全球攻擊規模與速度、攻擊型別、漏洞描述元資料及資產暴露面等。
開放漏洞
至於開放高風險漏洞,該報告指出, Java和Acrobat相關漏洞是公司企業漏補最嚴重的。
總體上,即便有補丁可用,公司企業也未必已部署該補丁。我們沒有深入探尋此類漏洞未修復的原因,但可能的原因有很多。
研究還發現,雖然微軟各條產品線上漏洞之多幾成業界笑話,公司企業總體上對微軟系產品的漏洞修復卻更為有效。
其中原因可能是微軟Office之類應用的修復通常不會造成太久的業務中斷,且微軟的週二補丁日等現行專案也對使用微軟軟體的公司企業產生了非常積極的影響。
週二補丁日是微軟定期向用戶提供補丁的日子,通常在每月第二個週二。
下一步
公司企業需要根據對自家公司的固有風險來給漏洞排出優先順序,重點突出、有的放矢才能高效抵禦當今這龐大的威脅介面。