根据SecurityScorecard 和 Cyentia Institute的一项研究显示,尽管在过去三年中网络攻击增加了15倍,但只有60%的组织改善了其安全状况。
联合研究旨在衡量2019年至2022年漏洞修复的速度,并发现在漏洞修复领域仅取得了有限的进展。研究发现,在评估的160万个组织中,有53%的组织至少有一个暴露在互联网上的漏洞,而22%的组织每个都积累了1,000多个漏洞,这证实了保护组织的关键资产需要取得更多进展。
“漏洞修复的速度是组织网络安全健康状况的首要指标,我们正在努力帮助这些组织加强软件安全检测和防御,并更好地评估越来越多的第三方软件带来的风险。”SecurityScorecard首席执行官Aleksandr Yampolskiy说。“这也证实了在当今快速演变的威胁环境中,组织必须迅速采取行动以更快地减少漏洞,而现在是采取行动的时候了。”
漏洞修复速度
为了衡量补救的速度和进展,该研究调查了问题被解决的速度以及它们在资产中持续的时间。研究显示,金融行业是修复速度最慢的行业之一(修复50%的中位数= 426天),而公用事业行业是修复速度最快的行业之一(中位数= 270天)。
令人惊讶的是,尽管针对已发布漏洞利用代码的漏洞的利用活动增加了15倍,但几乎没有证据表明该部门的组织更快地修复了被利用的漏洞。不管在他们的领域中总共存在多少漏洞,组织通常每个月修复大约10%的漏洞。
“供应商和服务提供商可能存在漏洞,这就需要持续了解整个生态系统的安全性,”Cyentia Institute的合伙人Wade Baker表示。有了更大的可视性,组织可以根据数据情况对风险和补救措施进行优先排序。这是有效解决网络漏洞的关键。”
存在漏洞的地方
研究显示,信息部门(62.6%)和公共部门(61.6%)存在开放漏洞发生率最高。金融部门(48.6%)的开发漏洞比例最低。
分析显示,组织通常需要12个月的时间来修复其面向互联网的基础设施中的一半漏洞。当公司的开放漏洞少于10个时,只需要一个月的时间就可以修复一半,但当名单增加到数百个时,需要一年的时间才能达到一半。随着漏洞数量的持续增加,修复难度和时间都将增加。
文章来源: