最新研究表明,大部分组织机构正在竭尽所能赶上漏洞出现的速度。
衡量安全性不缺乏度量标准——从漏洞和攻击的数量到拒绝服务攻击每秒的字节数。最近一份报告研究了组织机构需要多长时间来修复他们的系统漏洞,以及他们实际上修复的漏洞数量。
Kenna Security和the Cyentia研究所发布的报告《预测的优先次序第三卷:赢取修复竞赛》,带来了一些令人沮丧同时又让人惊讶的发现。
令人沮丧的发现是统计数据表明,企业只有能力修复其网络中10%的漏洞。公司规模对这一百分比的影响不大。
Kenna Security的首席技术官兼联合创始人Ed Bellis表示:
无论是否是一个小型企业,在一段特定时间内平均有10到100个漏洞,他们能够修复的漏洞比例和大型企业大致相同,即使这些大型企业每个月有超过1000万个开放漏洞。
换句话说,Bellis表示修复能力发展的速度与漏洞增长的速度大致相同。the Cyentia研究所的合伙人兼联合创始人Wade Baker表示:规模问题让我们意识到,可能在特定的时间范围内,组织机构能够解决的问题存在一个上限。
漏洞修复的速度因软件发布者而异。Bellis表示,微软和谷歌的软件漏洞往往能被大大小小的组织机构快速修复。修复时间最长的软件呢?老式软件和内部开发的代码。
不同行业的公司之间在补救时间上也存在巨大差异。投资,运输和石油/天然气/能源排在前面,能在最短时间内修复75%的被利用漏洞,在短短112天内就达成了这一目标。医疗、保险和零售/贸易需要的修复时间最长,达成目标花费了447天。
数据显示,一些组织机构能够做得比平均水平更好——在某些情况下,能够修复的漏洞比发现的漏洞更多,实际上领先于问题,走在了前面。研究人员尚不清楚的是,这些高绩效的公司正在做什么与众不同的工作。他们表示,这将是他们下一个研究主题。