补丁管理的八大趋势

个漏洞利用程序，由美国国家安全局 (NSA) 开发，后遭泄露。尽管微软早在 2017 年初就修复了此远程代码执行漏洞，直到今年 6 月仍有近 100 万系统未打补丁——其中仅美国就占了 40 万台。攻击者大肆利用该漏洞投放银行木马程序和其他恶意软件。

云迁移和企业移动性等数字化转型倡议与趋势也大幅扩张了企业攻击界面，进一步强调了巩固漏洞预防、检测与缓解策略的重要性。近些年兴起的 DevOps、持续集成与交付 (CI/CD)，以及其他应用开发与交付模型，同样关注尽量在软件开发生命周期早期阶段集成漏洞扫描和修复。

公司企业若想要实现正式的漏洞与补丁管理项目，需关注八个主要趋势。

1. 大量数据泄露事件涉及未修复漏洞

本年度企业数据泄露事件中，60% 涉及未打上补丁的安全漏洞。波耐蒙研究所最近受 ServiceNow 委托，针对 3,000 家企业进行了调查研究。结果显示，相比 2018 年，今年由于漏洞修复延迟而导致的企业停工增加了 30%。

企业出于多种原因没有尽快修复漏洞：没意识到潜在可致数据泄露的漏洞、各部门各自为战和派系斗争、资源缺乏，以及缺乏对应用和资产的共识。报告指出，受访者还称 “攻击者以机器学习/人工智能等技术超越了公司”。

2. 漏洞管理压力推动员工聘用

近 70% 的受访公司称计划在来年雇佣至少五名员工专门负责漏洞管理。企业在漏洞管理人员上的预期平均年度开支为：65 万美元。

除了增加人手，很多企业也在转向运用自动化应对漏洞修复挑战。45% 的受访者称可通过自动化补丁管理过程减少修复耗时。70% 的受访者表示，如果负责数据泄露的律所要求的话，会实现更好的补丁管理过程。

3. 监管激发漏洞管理项目部署

大多数数据安全监管规定，比如 PCI DSS 和 HIPAA，要求受管辖的实体设置漏洞管理项目。毫无意外，SANS 研究所受 Bromium 委托进行的一项调查中，84% 的受访企业报告称已设置有相应项目。其中约 55% 称有正式的漏洞管理项目，其他则将自身项目描述为非正式的。约 15% 称计划在来年实现漏洞管理项目。

该调查还发现，大部分设置有漏洞管理项目的企业采用风险评分过程确定安全漏洞关键性。其中 1/3 称有正式的风险评分过程，近 19% 的风险评估过程为非正式的。

（编辑：信阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!