2022年漏洞管理报告要点梳理

网络安全公司HelpSystems今年更名为Fortra，于日前发布了更名后的第一份漏洞管理报告。Fortra《2022年漏洞管理报告》基于对390多位网络安全专业人士的全面调研，旨在深入了解最新趋势、关键挑战和漏洞管理解决方案偏好。

报告揭示，网络安全团队需要现成的有效漏洞管理解决方案帮助拓展网络安全能力，在不补充人手的情况下保护业务正常运转。而在这方面，除了漏洞扫描，还包括能提高团队效率和安全有效性的多层安全解决方案。

调研参与者还指出了IT基础设施相关的多个关键挑战。安全成熟度不足、漏洞管理人员配置、预算限制、补丁部署和一系列其他问题都是其中的一部分。

漏洞管理计划的成熟度和有效性是重要因素

“安全成熟度”与当前安全状况有关，涉及风险环境和容忍度。由于每家公司都有自己的安全风险账，风险情况就会随组织环境不同而迥异。面对当前快速变化的威胁环境，企业发现自己越来越难以识别、排序、修复和缓解软件及系统漏洞了。持续的网络安全人才短缺状况进一步加重了这个问题。

基于此，网络安全团队需要便于使用的漏洞管理解决方案来铺开自己的安全操作，在不增加人手的情况下保护业务安全。而在这方面，除了漏洞扫描，还包括能提高团队效率和安全有效性的多层安全解决方案。

说到漏洞管理计划，大部分公司倒是确实有此安排。调研结果表明，大多数（71%）企业有正式的内部漏洞管理计划。少数（12%）企业只有非正式的临时计划，8%的受访企业有第三方托管计划，9%根本没有漏洞管理计划。

然而，问及漏洞管理计划的有效性时，仅近三分之一的受访企业表示有效。超过半数（62%）的受访企业认为漏洞管理计划不过是勉强有效。

尽管71%的企业有正式的漏洞管理计划，但若论及这些计划的成熟度和有效性，仅66%的受访企业具备3级或更高级别的成熟度水平。成熟度水平级别由IT环境风险分析和优先级排序而定。五个级别如下：

● 0级——无漏洞管理计划。

● 1级——扫描：无分析或修复指南。

● 2级——评估与合规：按合规和最佳实践进行定期评估的结构化战略。有既定流程。

● 3级——分析与优先级排序：有除CVSS评分之外的分析；威胁优先级取决于特定个别IT环境的风险。

● 4级——攻击管理：采用扫描测试数据发现威胁攻击如何在系统中移动。

● 5级——业务风险管理：有将整个环境纳入考虑的全面管理计划，分析漏洞扫描和渗透测试所得数据，检查各项指标以确定趋势，并采用增强的流程和修复技术。

除此之外，调查还发现，在漏洞管理能力方面，漏洞评估（70%）排在了前列。资产发现（66%）、漏洞扫描（63%）和风险管理功能（61%）紧随其后。

预算限制是最大的障碍

如今很难看到哪家新闻出版物不登载数据泄露相关消息了。每次数据泄露几乎都会对社区和事发企业造成广泛影响。网络攻击的持续冲击之下，漏洞管理成了任何公司不可或缺的需要。

然而，调研结果显示，预算限制（60%）是阻碍漏洞管理能力提升的最大障碍之一，长期人才短缺（45%）和低效漏洞控制规程（36%）亦不惶多让。缺乏高层支持（21%）和存在技术短板（29%）起到的阻碍作用则较小。

物联网和运营技术（OT）需要更好的漏洞管理

识别出入网物联网设备的相关漏洞后，企业就可以开始实现安全框架了。物联网安全主要在于对网络基础设施上物联网设备的有效控制。

但是，调研结果表明，物联网和OT设备需要更好的漏洞管理。物联网和OT设备以65%的比例高居榜首，反映出大多数IT环境都忽视了此类设备的安全问题。紧随其后的是云资产（44%）和端点（41%）。

深入漏洞管理之前，企业还有颇为重要的第一步要走：确定自家基础设施中需要增强漏洞管理的领域。

安全补丁的应用速度非常关键

缺乏快速补丁管理流程是很多公司面临的一大难题。及时修复对维持稳健安全态势至关重要。企业部署安全补丁修复漏洞到底有多快呢？根据调查，仅29%的受访企业能在补丁推出3天内加以部署。22%的受访企业在补丁推出一周内部署，35%的受访企业需要一周到一个月的时间。安全补丁应用速度最慢的企业中，6%在3个月内应用补丁，3%甚至需要一年或一年以上，补丁应用速度之慢简直令人侧目。

漏洞可见度有限

解决漏洞的第一步是看到漏洞。但是，问及漏洞可见度时，调研发现，不足半数的网络安全专业人员宣称拥有较高（35%）或完全（11%）的可见度。更多的是超过半数（51%）的受访企业对自身漏洞仅有中等程度的了解。

至于购买漏洞管理解决方案的支出触发因素，调研发现，68%的受访企业首选预防性安全措施。合规（42%）和审计结果（37%）位列漏洞管理解决方案购买动机的第二和第三位。 

安全漏洞数量庞大

调研发现，去年，76%的受访企业见证了安全漏洞数量增长。超过三分之一的受访企业（38%）漏洞数量增长了25%，另有24%的受访企业漏洞增长了26%~50%。

尽管76%的受访企业在去年经历了漏洞增长，但仅约三分之一（30%）的受访企业预期会增配漏洞管理人员。报告进一步揭示，44%的受访企业预计会增加在漏洞管理解决方案方面的投入，而37%的受访企业预期不会在这方面有任何支出变化。尽管预计会增加，但不到三分之一的受访企业（30%）预计会大幅增加人员配置，这或许反映了网络安全团队面临的持续人才短缺状况。大概略高于三分之一（36%）的受访企业预计会增加漏洞测试开支。

结语

《2022年漏洞管理报告》强调，缺乏安全成熟度、漏洞管理人员配置、预算限制、补丁部署，以及其他各种问题全都是关键挑战。漏洞评估位居漏洞管理能力榜首，其次是资产发现和风险管理功能。物联网和OT设备问题最大的资产，反映出大多数IT环境都忽视了此类设备的安全问题。预算限制则是增强漏洞管理的最大障碍。

所有这一切都表明，企业须更为关注自身安全态势和安全事件准备度。网络安全团队需要容易上手的漏洞管理解决方案，以便能够在不增加人手的情况下开展安全工作。缺乏安全可见度是否与预算直接相关，或者是否存在其他因素？我们很容易推断，高管层可能仍然过于脱离普通员工，进一步置公司于巨大风险之中。

Cybersecurity Insiders《2022年漏洞管理报告》：
https://www.cybersecurity-insiders.com/portfolio/2022-vulnerability-management-report-helpsystems/

↑↑↑长按图片识别二维码关註↑↑↑

原文始发于微信公众号（全栈网络空间安全）：2022年漏洞管理报告要点梳理