未修復(fù)的IT系統(tǒng)漏洞就同敞開的大門，可任由惡意攻擊者暢行。安全團隊必須快速找到并關(guān)閉那些敞開的大門，才能確保其企業(yè)的信息化系統(tǒng)應(yīng)用安全。然而，發(fā)現(xiàn)未知的漏洞是一項挑戰(zhàn)，有效管理并快速響應(yīng)已知的漏洞則是另一項挑戰(zhàn)。做好漏洞管理工作的前提是發(fā)現(xiàn)風(fēng)險，如果沒有基于風(fēng)險的漏洞管理方法，企業(yè)將無法面對不斷增長的漏洞威脅。

為了更好地了解當(dāng)前企業(yè)漏洞管理現(xiàn)狀，安全服務(wù)公司NopSec日前針對426名企業(yè)安全管理者進行了專項調(diào)查，報告研究發(fā)現(xiàn)，70%的受訪者表示對目前的漏洞管理計劃（VMP）并不滿意，其中34%的受訪者更是認為，他們所在企業(yè)目前還沒有明確的漏洞管理計劃，存在較嚴重的安全威脅隱患。

研究發(fā)現(xiàn)

• 圍繞可利用性和關(guān)鍵性對安全風(fēng)險進行優(yōu)先級排序是開展漏洞管理的首要目標(biāo)。其他關(guān)鍵目標(biāo)還包括未知漏洞識別和企業(yè)外部攻擊面管理等；
• 影子IT將是企業(yè)未來漏洞管理中的主要挑戰(zhàn)，這將嚴重降低企業(yè)對所有安全風(fēng)險的可見性。而缺乏專業(yè)的安全人員修復(fù)漏洞是另一個重大挑戰(zhàn)；
• 威脅情報在漏洞管理中的應(yīng)用不足，有53%的受訪者表示他們的組織還沒有使用第三方威脅情報，例如滲透測試、漏洞披露以及IP或域名聲譽評分；
• 目前的漏洞修補時間過長。只有18%的受訪者表示漏洞會在發(fā)現(xiàn)后的24小時內(nèi)修復(fù)，62%的受訪者表示需要超過48小時或更長時間來修復(fù)已知的嚴重漏洞；
• 利用漏洞發(fā)起的攻擊比以往任何時候都更加復(fù)雜。過半數(shù)受訪者表示他們能夠感受到攻擊的復(fù)雜性正在增加。

漏洞管理現(xiàn)狀調(diào)查

1.企業(yè)實施漏洞管理計劃（VMP）的目標(biāo)是什么？

調(diào)查顯示，當(dāng)被問及“您認為您希望通過漏洞管理計劃（VMP）實現(xiàn)的最高目標(biāo)是什么？”時，34.9%的受訪者認為首要目標(biāo)是“根據(jù)對組織構(gòu)成的風(fēng)險確定其漏洞修復(fù)和緩解工作的優(yōu)先級”，而漏洞的可利用性和暴露資產(chǎn)的重要性將是用于確定其優(yōu)先級的標(biāo)準。

【希望通過漏洞管理計劃（VMP）實現(xiàn)的最高目標(biāo)】

2.企業(yè)目前漏洞管理計劃的有效性如何？

而當(dāng)被問及“對當(dāng)前漏洞管理計劃的整體有效性的印象”時，70%的受訪者表示他們的VMP只是有些效果或不太有效，其中34%的受訪者認為是無效的。只有不到三分之一（30.1%）的受訪者表示擁有非常有效的VMP。

【當(dāng)前漏洞管理計劃的整體有效性】

3.影響漏洞管理計劃有效性的首要因素是什么？

通過調(diào)查那些回答稱“擁有非常有效的VMP”的組織，結(jié)果發(fā)現(xiàn)，影響VMP有效性的首要因素（占43%）是其組織內(nèi)部了解漏洞管理的人才。這些組織一般都有吸引和留住頂尖網(wǎng)絡(luò)安全人才的戰(zhàn)略，但鑒于安全行業(yè)正在經(jīng)歷的巨大技能缺口，這種回應(yīng)也表明需要更自動化的漏洞管理解決方案。

【影響VMP有效性的關(guān)鍵因素】

4.漏洞管理面臨哪些挑戰(zhàn)？

調(diào)研發(fā)現(xiàn)，“影子IT限制風(fēng)險暴露的可見性”是本次受訪者認為的漏洞安全管理最大挑戰(zhàn)。此外，16.2%的受訪者認為“缺乏訓(xùn)練有素的員工來修復(fù)漏洞”也給漏洞管理造成很多困難。13.9%受訪者認為，開展常態(tài)化的漏洞掃描與發(fā)現(xiàn)工作難以得到公司管理層的支持。

【漏洞管理面臨的重大挑戰(zhàn)】

5.企業(yè)最常用的漏洞掃描類型是什么？

那么，安全團隊目前正在執(zhí)行什么類型的漏洞掃描呢？結(jié)果幾乎平分秋色，受訪者表示服務(wù)器、應(yīng)用程序和代碼是他們掃描最多的內(nèi)容（各占34%）。另外33.8%為物聯(lián)網(wǎng)和OT設(shè)備；33.5%為云資產(chǎn)；33.3%為網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備（如路由、交換機等）；32.1%為臺式機/筆記本電腦。

【漏洞掃描類型分布】

6.企業(yè)會在漏洞管理中使用第三方威脅情報嗎？

當(dāng)詢問受訪者“是否利用第三方供應(yīng)商提供威脅情報數(shù)據(jù)”時，令人驚訝的結(jié)果是，52.8%的企業(yè)表示他們沒有從外部資源中獲取有關(guān)漏洞威脅的信息。

【第三方威脅情報應(yīng)用調(diào)查】

7.企業(yè)是否對漏洞進行風(fēng)險優(yōu)先級評估？

57.5%的受訪者表示，他們的公司沒有使用基于風(fēng)險的評級系統(tǒng)來確定漏洞的優(yōu)先級。因此可以這樣認為，多數(shù)公司仍然是以“先識別、先修復(fù)”的方式來進行漏洞修復(fù)工作。而對于那些評估漏洞風(fēng)險等級的企業(yè)，他們所依據(jù)的評估工具包括：52.4%為CVSS評分；40.8%為資產(chǎn)重要性；39.2%為補償控制；38.1%為威脅情報源。

【漏洞風(fēng)險等級評估工具】

8.企業(yè)是否對漏洞修補時間有明確要求？

單個漏洞在網(wǎng)絡(luò)或應(yīng)用程序中存在的時間量通常取決于漏洞帶來的風(fēng)險。只有28.2%的受訪者表示他們的組織已經(jīng)標(biāo)準化了服務(wù)水平協(xié)議（SLA），以明確修復(fù)漏洞的速度。但需要注意的是，不使用基于風(fēng)險的優(yōu)先級方案的組織將難以構(gòu)建有意義的SLA。

而在這些明確修復(fù)漏洞速度的企業(yè)中，20.4%的企業(yè)表示，他們要求在發(fā)現(xiàn)關(guān)鍵漏洞后48小時內(nèi)對其進行修補；15.9%的企業(yè)在72小時內(nèi)修復(fù)；16.2%的企業(yè)在1周內(nèi)修復(fù)；15.9%的企業(yè)在2周內(nèi)修復(fù)。只有17.8%的企業(yè)表示這些CVSS評分9.0及以上的高危漏洞需要在發(fā)現(xiàn)后的24小時內(nèi)進行修復(fù)。

【漏洞修復(fù)時間】

9.漏洞數(shù)量的增長趨勢如何？

報告研究發(fā)現(xiàn)，在過去12個月中，跟蹤漏洞數(shù)量的公司中有58%的報告稱漏洞數(shù)量翻了一番、三倍或四倍。其中，17.3%報告翻了一番；21.8%報告翻了三倍；19.3%報告翻了四倍。只有22.2%的報告稱漏洞數(shù)量沒有增加，19.6%的報告稱觀察的漏洞數(shù)量減少了。

盡管漏洞在增加并且攻擊的復(fù)雜性也在增加，但大多數(shù)組織仍然沒有對漏洞進行風(fēng)險評估，不依賴外部威脅情報，或者規(guī)定必須以多快的速度修補漏洞。對于正面臨日益嚴峻的威脅形勢的現(xiàn)代組織來說，這些都不利于可持續(xù)性發(fā)展。

【過去一年中，跟蹤到的漏洞數(shù)量變化狀態(tài)】

10.企業(yè)最關(guān)注的漏洞管理事項是什么？

16.9%的受訪者表示，其所在的企業(yè)將會購買新工具或升級他們現(xiàn)有的漏洞評估工具；14.7%的受訪者表示需要提高企業(yè)的安全風(fēng)險可見性，實現(xiàn)100%的本地和云上資產(chǎn)漏洞掃描覆蓋率；14.5%的受訪者表示要改進漏洞管理制度中的溝通和報告流程；13.6%的受訪者表示要雇用更多受過漏洞管理培訓(xùn)的員工；13.3%要實施基線安全配置并掃描合規(guī)性；12.4%的受訪者則表示要添加攻擊模擬的功能。

【未來一年企業(yè)在漏洞管理中的重點工作】

11.企業(yè)用于漏洞管理的預(yù)算會如何變化？

當(dāng)被問及未來12個月他們所在企業(yè)的漏洞管理預(yù)算將如何變化時，36.6%參與預(yù)算相關(guān)決策的人預(yù)計預(yù)算會增加，34%認為預(yù)算會基本持平，而有29.3%的人預(yù)計他們的預(yù)算會縮減。

【未來一年漏洞管理預(yù)算變化】

24.4%的受訪者預(yù)計漏洞管理預(yù)算會呈現(xiàn)26%至50%的適度增長，只有21.7%的人預(yù)計會低于這個水平（25%及以下）。此外，17.3%的人樂觀地認為預(yù)算會增長51%-75%；20.8%的人認為預(yù)算會增長76%-100%；甚至15.7%的人期待預(yù)算增加100%或更多。

【未來一年企業(yè)漏洞管理預(yù)算增長率】

參考鏈接：

https://www.nopsec.com/wp-content/uploads/2022/06/NopSec-State-of-Vulnerability-Management-Report-2022.pdf?