企业漏洞管理的八大趋势有哪些

这个万物互联的时代，网络安全成为了维护数据的重中之重，软件漏洞更是直接成了引人注目的安全问题。大量数据和案例表明，虽然漏洞评估和管理工具不断丰富，但是漏洞管理重在“管理”，企业的漏洞管理或脆弱性风险相关管理依然存在很大的改进空间。那么，企业漏洞管理的八大趋势有哪些呢？

企业漏洞管理的八大趋势。

1、招兵买马+流程自动化

根据ServiceNow/Ponemon的调查，70%的企业表示，计划在2020年雇用至少五名员工来进行漏洞管理。除了招兵买马外，许多企业都将自动化作为应对补丁挑战的一种方式。

2、法规推动漏洞管理程序的部署

大多数据安全法规，例如PCI DSS和HIPAA，都要求合规实体具备漏洞管理程序。根据SANS研究所的调查，有84％的企业建立了漏洞管理程序，其中大约55％的已经制定了正式的漏洞管理计划；另外调查还发现大多数实施了漏洞管理程序的企业都使用风险评级指标来确定安全漏洞的严重性。

3、数据泄露大多与漏洞未修补有关

虽然网络安全工具和方法日新月异，但漏洞管理始终是企业网络安全的致命环节，近年来60%的企业数据泄露与安全漏洞未得到修补有关。

4、企业漏洞预防、检测和修补的成本增加

2019年，相比2018年127小时监控、153小时修复的时间成本，尤其是漏洞修补的时间成本有较大幅度增长。调查发现，2019年企业用于预防、检测、修补、记录和报告的漏洞管理工作平均每周费用为27688美元，与修补程序相关的停机时间损失每年约144万美元，后者比2018年的116万美元高出约24.4％。

5、漏洞管理扫描频率与响应时间

与扫描频率较低的企业相比，扫描频率较高的企业在补救漏洞方面往往要快得多。据Veracode称，所有应用程序中，约有一半软件出现了老旧和未解决的漏洞（也称安全债），因为开发团队往往首先关注于更新的漏洞。这种趋势正在增加组织的数据泄露风险。

6、打补丁”周期少于一周

Tripwire的一项针对340位信息安全专业人员的调查，已经有9％的企业在获得安全补丁后立即部署了该补丁，49％的企业能在7天内完成补丁安装。还在调查中发现多达40％的企业每月修补的漏洞少于10个，29％的企业每月修补10-50个漏洞。

7、多种因素导致补丁延迟

虽然大多数安全企业都了解及时修补漏洞的重要性，但由于各种原因，该过程可能会延迟。在Ponemon的调查中，大多数（76％）的受访者表示，原因之一是IT和安全团队之间对应用程序和资产缺乏统一的看法。几乎相同的比例（74％）受访者表示，由于担心导致关键应用程序和系统停机，他们的修补过程经常被延迟。

8、对补丁延误的容忍度在降低

在软件中发现安全漏洞后，大多数企业都希望开发人员能够迅速采取行动来解决问题。Tripwire的调查显示，当受访者被问及他们认为在漏洞发现与补丁发布之间可接受的时间范围时，有18％的人表示不接受任何等待。

调查显示，企业普遍期望软件开发人员即使在产品到期后仍会继续发布产品补丁，36％的人表示希望开发人员在产品生命周期结束后的一到两年内发布补丁，而15％的人希望产品在三到五年内得到支持。