金融服務(wù)行業(yè)監(jiān)管嚴(yán)格，我們總會(huì)假定金融服務(wù)機(jī)構(gòu)會(huì)及時(shí)處理可能導(dǎo)致數(shù)據(jù)泄露的缺陷和漏洞。

[[257058]]

客戶看到的公開漏洞中有70%都出自3家主流供應(yīng)商：Oracle、微軟和Adobe。

這是網(wǎng)絡(luò)安全公司 Kenna Security 研究調(diào)查過企業(yè)的漏洞應(yīng)對(duì)方式之后得出的結(jié)論。他們的研究報(bào)告題為《從排序到預(yù)測(cè)》，文末附有全文下載入口鏈接。

報(bào)告指出：Oracle留下的公開漏洞占了34%，微軟和Adobe各占17%。鑒于這三家公司的巨大市場(chǎng)份額，這個(gè)漏洞比例毫不令人意外。

而且，企業(yè)網(wǎng)絡(luò)中發(fā)現(xiàn)的漏洞有40%直到今天都沒補(bǔ)上。75%的CVE在公布一年之后都還洞開。雖然這一狀況可以解釋為其中一些缺陷并不嚴(yán)重，但CVE可是有很多都沒給出風(fēng)險(xiǎn)評(píng)分的。

Kenna Security 聲稱，已經(jīng)發(fā)現(xiàn)的可利用漏洞高達(dá)5.44億個(gè)之巨，且這一數(shù)量還僅占企業(yè)漏洞總數(shù)的5%!

其首席技術(shù)官 Ed Bellis 在電子郵件聲明中評(píng)論道：緩解風(fēng)險(xiǎn)程度最高的漏洞對(duì)大多數(shù)企業(yè)而言是可行的。盡管最近幾年重大數(shù)據(jù)泄露頻發(fā)，調(diào)查結(jié)果顯示：公司企業(yè)可以且應(yīng)該暫緩大多數(shù)漏洞的緩解工作，這些不應(yīng)該排在優(yōu)先處理事項(xiàng)的漏洞往往以百萬計(jì)。

“大多數(shù)漏洞即便被利用也沒什么風(fēng)險(xiǎn)。這意味著公司企業(yè)可以優(yōu)化其資源安排，優(yōu)先處理風(fēng)險(xiǎn)程度最高的那5%。

銀行應(yīng)用也受公開漏洞的影響

Kenna Security 的研究揭示了可利用漏洞數(shù)量之巨，應(yīng)用安全企業(yè)Veracode也發(fā)布了一份類似的報(bào)告，稱67%的銀行應(yīng)用有信息泄露的風(fēng)險(xiǎn)。

Veracode的報(bào)告題為《軟件安全狀態(tài)》，指出2/3以上的銀行應(yīng)用有被黑客用于盜取敏感數(shù)據(jù)的風(fēng)險(xiǎn)，黑客拿到這些數(shù)據(jù)后可進(jìn)一步利用該應(yīng)用或其用戶。

Veracode歐洲、中東、非洲、亞太及日本地區(qū)總監(jiān) Paul Farrington 稱：因?yàn)榻鹑跈C(jī)構(gòu)和銀行持有高價(jià)值信息及關(guān)鍵資產(chǎn)，他們?nèi)詫⑹蔷W(wǎng)絡(luò)罪犯和惡意黑客的目標(biāo)。“

我們的數(shù)據(jù)顯示，金融服務(wù)行業(yè)掃描大量應(yīng)用，找出需要修復(fù)的漏洞。這很令人欣慰，但接下來就是要提升修復(fù)速度，因?yàn)樗俣确浅Ｖ匾Ｆ髽I(yè)修復(fù)漏洞的速度直接反映出應(yīng)用的風(fēng)險(xiǎn)等級(jí)。金融行業(yè)在安排漏洞修復(fù)優(yōu)先順序時(shí)應(yīng)考慮方方面面的風(fēng)險(xiǎn)。

需指出的是，Veracode和 Kenna Security 都是與網(wǎng)絡(luò)研究機(jī)構(gòu) Cyentia Institute 合作編寫出他們的報(bào)告的。

Kenna Security 《從排序到預(yù)測(cè)》報(bào)告：

https://www.kennasecurity.com/prioritization-to-prediction-report-volume-two/

Veracode《軟件安全狀態(tài)》報(bào)告：

https://www.veracode.com/sites/default/files/pdf/resources/ipapers/state-of-software-security-volume-9/index.html