漏洞管理存在的严重问题

要入侵IT系统，网络罪犯根本不用费心思另辟蹊径，利用已知漏洞就行了，因为公司企业的漏洞修复工作慢如蜗牛而不自知。

Vulcan Cyber的一项研究表明，大多数IT部门对其漏洞修复计划的成熟度过于乐观。

很多公司认为自身在修复已知漏洞方面遥遥领先，而实际上不过是才刚刚开始着手所需工作而已。

Vulcan联合创始人兼首席执行官Yaniv Bar-Dayan称：“令我们措手不及的是，绝大多数受访者认为他们的漏洞修复计划已经十分成熟。考虑到已知未修复漏洞所引发的大量安全事件，我们发现了令人惊讶的认知断层，需要进一步审视这个问题。”

Vulcan的调查研究征询了100位计算机安全和IT管理人员，询问他们如何管理漏洞修复工作。研究发现，84%的受访者认为自己拥有“成熟”的修复计划。但进一步问询暴露出他们仅仅完成了非常基础的工作，距离“成熟”漏洞修复计划还差好几个阶段。

大多数受访企业已经完成漏洞扫描（72％）、修复工具使用（49％）和漏洞排序（44％）这几项基础工作。

不太成熟的修复任务包括：协同修复（48%）、自动化修复（48%），以及围绕网络目标的业务调整（31%）。

漏洞修复很容易出问题，因为通常没人直接负责修复计划。举个例子，安全团队只管识别漏洞，后续修复工作则交由IT团队完成。或者，安全团队和IT团队共担此项工作，但没人明确负责漏洞修复工作的完成。为确保修复不会中断任何关键IT过程，还需进行大量测试，这又进一步拖慢了漏洞修复工作。

调查研究数据印证了这一组织性问题：89%的受访者声称，跨职能团队合作耗费了安全团队和IT团队相当多的时间；近半数（42%）受访者报告称，跨职能团队合作耗费“大量”时间；7%的受访者抱怨花费在跨职能团队合作上的时间“太多了”。

从漏洞修复计划缺乏进展判断，开会太多和缺乏明确流程似乎阻碍了漏洞修复工作。

Bar-Dayan表示：“漏洞扫描和排序是必不可少的，但只是最低限度的功能，仅靠这些是构不成成熟漏洞修复计划的。从我们的经验判断，漏洞修复计划的瓶颈存在于修复生命周期后端，源自跨团队协作效率低下。想要改变现状，公司企业需更新和自动化修复过程。这是一项艰巨的任务。”

Vulcan表示，重构漏洞修复管理方式将给企业带来更强大的计算机安全。大多数数据泄露利用的是未修复的已知漏洞。

Vulcan SaaS平台可识别漏洞和排序漏洞修复任务。

Vulcan Cyber白皮书和信息图：

https://l.vulcancyber.com/hubfs/Infographics/Vulnerability-Remediation-Maturity-Perception-Reality-Infographic.pdf

关键词：漏洞管理；

声明：本文来自数世咨询，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。