组织漏洞修复现状堪忧

关键要点

根据SampP全球评级报告，约70的组织未定期修补其互联网系统中的漏洞。由于不断增加的公开漏洞，安全团队面临疲劳问题。超过40的组织在修补漏洞方面表现出“很少”的频率。现有的优先排序系统可能未能充分反映真实世界的威胁数据。

一、漏洞修复艰难

根据SampP全球评级的分析，安全团队的修复工作受到严重影响，因为他们需要应对越来越多的公开披露漏洞。调查显示，近四分之三的组织对其系统中的漏洞采取的修复措施要么偶尔进行，要么则很少进行。

SampP全球评级的网络风险专家保罗阿尔瓦雷斯Paul Alvarez表示：“我们的分析表明，某些我们评估的组织在修复高度针对性的网络漏洞时可能会行动缓慢，这增加了计算机系统被攻破的风险。”

该分析使用了GuideWire对互联网系统的扫描数据，考察了超过7000家金融和企业部门的组织的漏洞数据。

二、修复进度缓慢

对2023年的漏洞扫描分析显示，30的组织对其“攻击面”内的漏洞“偶尔”进行修复。超过40的组织表现出“很少”修补漏洞，这意味着每十个组织中有七个在修复风险最大缺陷的工作上表现不佳。

报告指出，发现漏洞的频率增加使得确定修复优先级变得更加复杂。基于传统的通用漏洞评分系统CVSS进行的优先排序可能导致安全问题，因为这会延缓漏洞的修复。

三、优先排序可能一直存在不足

CVSS系统提供了一种标准化的方法来分类漏洞，它考虑了诸如漏洞的可利用性、攻击难度、所需权限、用户交互要求及漏洞影响程度等因素。

然而，该系统可能遗漏了一些额外的指标，而这些指标对更准确的优先排序至关重要。报告建议考虑“恶意利用预测安全评分”EPSS系统，该系统由事件响应和安全专家组成的团队“事件响应与安全团队论坛”FIRST创建。

阿尔瓦雷斯解释道：“EPSS尽可能收集有关漏洞的信息，以及漏洞被利用的证据。这包括但不限于关于漏洞本身、利用代码的可用性、社交媒体上提及的漏洞以及来自攻击性安全工具和扫描仪的数据。”

他补充道，EPSS采用了一个训练模型，以分析所有收集的信息并生成利用的概率。

在这次分析中观察到的漏洞平均CVSS得分为487满分10分，而EPSS的平均得分为0330到1的范围内。尽管这样看让EPSS系统似乎显得不那么宽容，阿尔瓦雷斯却有不同的见解。

他指出：“CVSS和EPSS对漏洞的审视方式不同，所以不能直接比较。CVSS得分没有考虑现实世界的威胁数据，因此一个漏洞可能具有较高的CVSS得分，但EPSS得分却较低。因此，在试图优先处理漏洞时，两个得分都应考虑在内。”

四、漏洞的年龄也发挥作用

报告指出，较旧的漏洞因成功利用的可能性高而被频繁利用。因此，分析显示28的检测到的漏洞源自2016年，已有七年的历史。近75的这些漏洞在七年或更早之前就已被公开披露，其中最古老的漏洞追溯至24年前。

旋风加速官网下载安卓

这种对老旧漏洞的持续利用凸显了及时和有效的漏洞管理的关键需求。在分析中，较差的修复效果也可能预示着整体管理和治理方面的更广泛缺陷。