【调查】修复关键网络安全漏洞的平均时间为205天

攻防
2年前

src=http___imagev2.xmcdn.com_group53_M00_30_74_wKgLfFwjTp2xAQ4uAAFs0hS-TC8215.jpg_op_type=3&device_type=ios&name=web_meduim&columns=72&rows=72&refer=http___imagev2.xmcdn.jpg

  报告显示,公共事业部门所用全部应用中超过66%存在至少一个可利用的开放漏洞。

  WhiteHat Security发布新报告揭示,修复关键网络安全漏洞所用平均时间从2021年197天增加到了2021年5月的205天。

  在其《应用安全状态纵览》报告中,WhiteHat Security研究人员发现,公共事业部门企业的应用漏洞暴露窗口最大,全美超过5万家水处理厂网络安全状况糟糕的事实也在近期登上了美国新闻头条。除了今年早些时候佛罗里达州一家水处理厂遭到网络攻击,还有多起针对公共事业的攻击从未见诸报端。 

  报告显示,公共事业部门所用全部应用中超过66%存在至少一个可利用的开放漏洞。WhiteHat Security副总裁Setu Kulkarni称,制造业60%以上的应用也存在超过365天的暴露窗口。 

  Kulcarni解释道:“同时,他们所用应用中暴露窗口少于30天的也为数不多。也就是说,在一个月之内就修复好可利用严重漏洞的应用实在太少。金融和保险业在漏洞修复方面做得更好些。” 

  “金融业的暴露窗口更为均衡。约40%的应用具有365天的暴露窗口,但约30%的应用其暴露窗口少于30天。”

  WhiteHat Security研究人员称,过去三个月来最常见的五大漏洞类型是信息泄露、会话过期处理不充分、跨站脚本、传输层保护不足和内容欺骗。 

  报告指出,这些漏洞中许多都很“普通”,不需要多少精力或技术就能发现并利用。 

  Kulkarni称,由于大量新应用的开发、修改和部署,尤其是自新冠肺炎疫情爆发以来的应用涌现潮,WhiteHat Security公司决定将报告发布从每年一次改为每月一次。毕竟,威胁态势也随着应用开发的爆发式增长而发展扩大了。 

  Kulkarni指出,这种情况凸显出大多数企业缺乏网络安全人才的现状,也昭示着很多行业缺乏资源,难以管理数百个应用的更新和补丁。 

  “我们将行业暴露窗口视为数据泄露敞口的先行指标。相对于金融和医疗保健行业,公共事业或制造业等行业在数字转型方面颇为迟缓,他们的暴露数据窗口完全不平衡。”

  “数据显示,企业如果能够调整自身应用安全计划,从而满足老旧应用和新应用需求,就会在平衡其应用暴露窗口方面表现得更好。这就是我所谓的双速应用安全:专注老旧应用的生产测试和缓解;专注新应用的生产和预生产测试,平衡缓解和修复措施。”

  当今每个应用都直接或间接连接互联网,漏洞可能影响到成百上千乃至上百万的最终用户。 

  Kulkarni建议企业将安全责任更广泛地分担到所有利益相关者身上,而不是单纯压到安全团队和IT团队肩上,安全团队和IT团队往往缺乏预算,也没有足够的资源来一丝不苟地处理安全问题。

  安全是一项团队运动,但长期以来,安全和IT团队承担了不成比例的安全责任。

  “开发团队时间紧张,他们无法拿出几个小时接受即时专门安全培训。安全团队最好确定出测试中应用最重要的1~3个漏洞,并为开发团队提供针对这几个漏洞的小型培训。”

  WhiteHat Security报告:https://www.whitehatsec.com/appsec-stats-flash/


阅读参考

漏洞管理存在的严重问题

英特尔:九成漏洞经由研究发现

漏洞管理:亡羊补牢,未为迟也