几名研究人员在本月初举行的资讯安全经济(Economics of Information Security)研讨会中,发表一项研究,企图探讨企业修补漏洞的优先顺序及效率,并指出在2009年至2018年的9年间,在全球被公开揭露的75,976个公开漏洞中(CVE),约有12.8%的漏洞出现公开的攻击程序,但在实际的攻击行动中,只有一半采纳了这些公开攻击程序。
研究指出,大多数企业在修补漏洞的政策上都力求平衡,有些可能尝试修补所有的漏洞,却会造成缺乏效率的后果,有些则是优先修补少数的高风险漏洞,但后者则需要更好的攻击预测与评估,而这即是目前不管是政府机关或私人企业都缺乏的能力。
此一报告揭露了最近9年来被公开的漏洞、公开的漏洞攻击程序,以及相关漏洞遭到实际开采的数据。
根据统计,在这9年中所出现的7.6万个漏洞中,约有9,700个漏洞的攻击程序被公开,占所有漏洞总数的12.8%,另一方面,在实际的攻击行动中,被利用的漏洞为4,200个,占所有漏洞的5%。
不过,实际的攻击并非总是利用公开的攻击程序,分析显示,这9,700个漏洞的公开攻击程序只有2,100个被应用在实际攻击中,代表黑客所开采的4,200个漏洞中,有一半的攻击程序是自行打造的。
研究人员想要表达的,是企业或政府不应只仰赖漏洞攻击程序的曝光与否或CVSS分数来决定修补顺序,因为在实际的攻击行动中,黑客所开采的漏洞至少有一半是缺乏公开攻击程序的,亦只有不到一半比例的CVSS分数高于9。
资料来源:iThome Security
| 留言与评论(共有 0 条评论) |
