以风险为基础的网络安全初创公司Kenna Security inc成立于2010年,Kenna Security提供了一个风险情报和漏洞平台,旨在让InfoSec团队更快地确定和纠正漏洞。而在这家公司的最新研究中,发现Windows系统中发现的漏洞大约是mac的四倍,但windows系统修补漏洞的速度要比mac快很多。
漏洞管理公司委托Cyentia研究所分析了450个组织中900万个资产的数据,并写了一份报告——《Prioritization to Prediction Volume 5: In Search of Assets at Risk》。
结果表明,漏洞少的资产制造商修补补丁的速度往往较慢,而漏洞多的资产修复速度更快。
例如,它发现基于Windows的资产每月平均有119个漏洞:是Mac OS X中发现漏洞数量的中位数的四倍(32)和网络设备发现漏洞数量的中位数30倍(4)。
但是,这些Windows漏洞平均在36天内修补,而其他网络设备则平均需要一年(369天)。
据计算,苹果平均需要70天才能发布Mac OS X计算机补丁,是微软的两倍,而Linux / Unix则需要254天。
微软的关键补丁率为83%,其次是Mac OS X(79%),其次是网络设备/设备(64%),最后是Linux(63%)。
研究人员在Microsoft计算机上发现了2.15亿个bug。尽管已修复了1.79亿个漏洞,但其余的3600万个漏洞已超过Mac,Linux,Unix和网络设备上已修补和未修补的漏洞总数。
Cyentia Institute的合伙人兼创始人Wade Baker说:
“With automated patching and Patch Tuesdays, the speed at which Microsoft is able to fix critical vulnerabilities on their systems is remarkable, but there still tend to be a lot of them,”
“通过自动补丁和二次补丁,微软能够以非常快的速度修复其系统上的关键漏洞,但是仍然存在很多漏洞。”
“另一方面,我们看到许多资产,例如路由器和打印机,它们的高风险漏洞则有更长的周期。公司需要围绕这些权衡因素调整其风险承受能力,策略和漏洞管理功能。”
为了更好地处理补丁程序管理,该组织应牢记报告中的以下发现:
- 有很多已发布的漏洞。存在大量漏洞,这些漏洞可能对组织和消费者构成风险。国家漏洞数据库(NVD)中已经发布了13万多个,还有许多尚未得到官方认可的漏洞。仅凭纯粹的数量,就很清楚为什么这么多漏洞管理程序被洪水淹没了。随着2017年CNA流程的扩展,新的CVE录入率增加了两倍。虽然这种增长呈指数型发展,但这更多地是对CVE流程的一种衡量,而对软件和硬件随时间的固有安全性的关注则较少。
- 修复漏洞也会需要很多时间。就算天天加班也不足以解决130,000个漏洞,但在实际环境中进行修复时,就会变得更复杂。这不仅仅是解决bug的问题,而是一个发现并修复受每个漏洞影响的结果的过程。由于受影响的系统如此之多,因此补救安全隐患可能是一个复杂而漫长的过程。在第一个月内修补了约45%的漏洞,在三个月内修补了66%的漏洞,但不到20%的漏洞可以保留超过一年的时间。
- 组织无法修复所有漏洞。考虑到影响基础架构的漏洞数量以及修复这些漏洞所花费的时间,因此公司无法持续地对所有漏洞进行补救也就不足为奇了。
- 并非所有漏洞都需要立即修复。漏洞管理似乎是没有希望的冒险,但是数据中确实有希望的迹象。企业无法解决所有问题,但现实是他们不需要这样做。许多漏洞会影响大多数企业网络当前未使用的技术。虽然确实确实会定期出现新的攻击,但是大多数公司也可以在没有已知攻击的情况下安全地降低漏洞的优先级。当您无法解决所有问题时,解决最重要的问题至关重要。
- 公司可以修复所有高风险漏洞。这里有两个关键事实:1)公司无法修复其所有漏洞;2)只有一小部分漏洞具有已知利用。因此,从理论上讲,假设激光聚焦,组织可能能够补救整个环境中的所有高风险漏洞。他们甚至可能有空间来修复尚未利用的漏洞,但可能会在将来。在接受研究的数百家公司中,只有一半以上的公司减少了其环境中的高风险漏洞的数量,而有16%的公司坚守了自己的立场。这意味着三分之二的组织已经成功地管理了现实世界中的漏洞风险。