在過(guò)去五年中，美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù) （NVD） 每年都會(huì)打破上一年度的報(bào)告漏洞數(shù)量記錄，毫無(wú)疑問(wèn)，2022年也將是如此，據(jù)業(yè)內(nèi)統(tǒng)計(jì)，迄今為止 2022 年平均每天會(huì)出現(xiàn)60多個(gè)新漏洞。

　　隨著威脅態(tài)勢(shì)的愈發(fā)嚴(yán)峻，安全團(tuán)隊(duì)已經(jīng)無(wú)法跟上漏洞報(bào)告的速度，因疲于應(yīng)對(duì)不斷爆發(fā)的安全漏洞，一些安全從業(yè)者甚至已經(jīng)對(duì)安全工作表現(xiàn)出了厭倦。

　　事實(shí)上，試圖修復(fù)一切漏洞并不是一項(xiàng)正確的決策。來(lái)自安全公司Kenna與Cyentia 研究所的一項(xiàng)數(shù)據(jù)研究證明，基于風(fēng)險(xiǎn)的漏洞管理 （RBVM） 方法已經(jīng)成為企業(yè)安全建設(shè)的核心思想，相比緊追漏洞報(bào)告修復(fù)漏洞的工作模式而言，采用RBVM風(fēng)險(xiǎn)管理模式的組織顯然能夠以更輕松的姿態(tài)在安全建設(shè)工作中取得更好的結(jié)果。

　　在過(guò)去，人們十分避諱“與漏洞風(fēng)險(xiǎn)共存”，每個(gè)人都將漏洞管理視為一個(gè)無(wú)足輕重的話(huà)題。但很少有組織能夠真正達(dá)到全部漏洞都已修復(fù)的狀態(tài)，因?yàn)檫@一目標(biāo)的實(shí)現(xiàn)往往意味著大量人力、財(cái)力和物力資源的無(wú)意義消耗，大量的時(shí)間都會(huì)被浪費(fèi)在修補(bǔ)那些構(gòu)不成真正威脅的漏洞上。

　　Cyentia 研究所發(fā)現(xiàn)，當(dāng)前23%的已報(bào)告漏洞均發(fā)布了漏洞利用代碼，但只有2% 的漏洞已在野外觀察到漏洞利用的情況，因此，假設(shè)組織基于風(fēng)險(xiǎn)情報(bào)集中力量?jī)?yōu)先補(bǔ)救關(guān)鍵漏洞，那將大大減少安全人員的工作壓力。

　　這項(xiàng)聯(lián)合研究對(duì)Kenna監(jiān)測(cè)到的組織對(duì)漏洞的修復(fù)能力、速度、覆蓋率和效率等多個(gè)維度的數(shù)據(jù)進(jìn)行了統(tǒng)計(jì)分析，分享了一個(gè)優(yōu)秀的RBVM 工作方法為相關(guān)組織提供安全指引：

　　上圖左側(cè)的百分比容量代表著被監(jiān)測(cè)組織平均每個(gè)月修復(fù)的漏洞數(shù)量，因此可以看到，無(wú)論是處于哪一個(gè)安全基線(xiàn)的組織都在修復(fù)大量的公開(kāi)漏洞，安全實(shí)力卓越的組織針對(duì)公開(kāi)漏洞的修復(fù)速度有了很大的提升。

　　從這一張統(tǒng)計(jì)分析圖中能夠看到，隨著時(shí)間的推移，相比2016年時(shí)，公開(kāi)漏洞的修復(fù)效率已經(jīng)得到了顯著提升，2016年時(shí)漏洞的半衰期（即修復(fù)一半新發(fā)現(xiàn)漏洞所需的時(shí)間）甚至?xí)^(guò) 125 天。而在過(guò)去四年中，半衰期已從 32 天減少到 21 天，減少了三分之一以上。

　　統(tǒng)計(jì)顯示，2018年左右，公開(kāi)漏洞覆蓋率和效率都在35%左右。通過(guò)上圖的曲線(xiàn)比較也可以看到，漏洞修復(fù)的效率與覆蓋度相關(guān)，如果漏洞修復(fù)優(yōu)先級(jí)策略沒(méi)有重大變化的話(huà)，改進(jìn)其中一個(gè)指標(biāo)往往會(huì)相應(yīng)的導(dǎo)致令一個(gè)指標(biāo)的下降。例如，想要增加漏洞修復(fù)的覆蓋范圍，就必須去補(bǔ)救更多低危漏洞，但這會(huì)降低關(guān)鍵漏洞的修復(fù)效率。

　　此外我們能看到，自2017年以來(lái)報(bào)告的漏洞數(shù)量每年都在增加，但大量的組織已經(jīng)開(kāi)始采用基于風(fēng)險(xiǎn)的漏洞管理方法來(lái)完成漏洞修復(fù)工作，通過(guò)關(guān)注風(fēng)險(xiǎn)來(lái)過(guò)濾大量無(wú)效漏洞帶來(lái)的噪音，這也使得監(jiān)測(cè)到的公開(kāi)漏洞的修復(fù)效率和覆蓋率都得以持續(xù)的提高。

　　研究最后指出，在行業(yè)已經(jīng)逐漸探索出更智能的漏洞管理方法的同時(shí)，互聯(lián)網(wǎng)平臺(tái)和軟件的供應(yīng)商的響應(yīng)效率也在變得更加高。以微軟舉例來(lái)說(shuō)，微軟定期發(fā)布的安全補(bǔ)丁對(duì)于供應(yīng)鏈下游組織修復(fù)漏洞的效率產(chǎn)生了重大的影響，監(jiān)測(cè)數(shù)據(jù)顯示，絕大多數(shù)組織都在安全更新發(fā)布后的22天內(nèi)修復(fù)了半數(shù)以上的報(bào)告中發(fā)布的漏洞。

　　安全人才的短缺也讓安全形勢(shì)進(jìn)一步復(fù)雜化，但好在漏洞管理的工作方法正在得到優(yōu)化，組織逐漸意識(shí)到不再需要全部修復(fù)所有的安全漏洞，而是轉(zhuǎn)換以控制風(fēng)險(xiǎn)的視角來(lái)看待自身的安全性，通過(guò)采用基于風(fēng)險(xiǎn)的漏洞管理 （RBVM） 方法讓安全工作重新回歸理性。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<