調查顯示企業平均修復漏洞花費時間仍未達到預期目標

根據NTT Application Security研究人員基於大約1500萬次掃描，其中大部分是截至2021年客戶面向網際網路的web應用程式。得出資料顯示，去年，組織平均花費6個月(193.1天)來修復一個關鍵的安全漏洞，幾乎與2020年(194.8天)花費的時間相同。在同一時期，組織修復的漏洞佔總漏洞的百分比平均也更少。

資料顯示，關鍵漏洞的平均修復率從從2020年的54%下降到2021年的47%。換句話說，去年有超過一半(53%)的已知關鍵缺陷未得到修復。NTT的研究顯示，不太嚴重的缺陷修復率甚至更低。在2021年，組織在其環境中平均只修復了36%的高嚴重缺陷和33%的中等嚴重缺陷。

在研究的所有站點中，有一半的網站在2021年至少存在一個嚴重的可利用漏洞。在一些行業中，存在這種風險的網站比例更高。零售行業是受關注的行業之一，有59%的網站在全年中至少有一個嚴重的漏洞;在公用事業部門，有63%的網站因為至少有一個可利用的漏洞而暴露在攻擊之下;在專業、科學和技術服務部門，這一數字甚至更高，達65%。

總的來說，應用程式漏洞修復率和去年組織平均修復漏洞所花費的時間仍遠未達到安全團隊試圖實現的預期目標。

組織難以改進應用程式安全性的關鍵指標，如修復時間、修復率和整體暴露視窗有多種原因。但是一個共同的主題是軟體開發團隊持續關注於優先考慮新應用程式的功能效能，而非安全性。NTT安全主管Jones稱。

漏洞積壓

Pathlock總裁指出了另一個問題：應用程式程式碼中漏洞發現的持續增長。

他表示:“隨著駭客變得更加活躍，越來越多的關鍵系統和網站轉向公共網路，漏洞的數量將繼續增加。”

NTT的資料還表明，公眾和媒體的關注可能至少在一定程度上影響了去年的漏洞修復決策。例如，組織在2021年平均需要193.1天來修復關鍵缺陷，儘管與2020年的194.8天相比並沒有好多少，但仍快了1.7天。與此同時，去年其他不太嚴重的缺陷的修復時間率卻呈現出相反的趨勢。

與2020年相比，組織在2021年修復嚴重程度高、中等和低的缺陷所需的時間平均更長。

Jones稱，當應用程式安全團隊更多地關注一類缺陷而不是其他缺陷時，就會出現這些結果。“資料表明，修復關鍵漏洞的時間減少通常與修復相對不太嚴重漏洞所需的時間增加有關，”他說。

Web應用程式環境中最常見的漏洞類包括資料洩露、傳輸層保護不足、跨站點指令碼、跨站點偽造、內容欺騙和授權不足。

隨著對軟體安全性關注度的提高，目前企業在軟體開發生命週期中多會進行一定的安全性檢測，如查詢程式碼安全的 靜態應用安全測試和開源元件分析，從軟體開發源頭上降低軟體安全風險。

文章來源：

https://www.darkreading.com/application-security/key-application-security-metrics-show-little-sign-of-improvement