組織通常需要1年時間修復聯網基礎設施中的一半漏洞

根據SecurityScorecard 和 Cyentia Institute的一項研究顯示，儘管在過去三年中網路攻擊增加了15倍，但只有60%的組織改善了其安全狀況。

聯合研究旨在衡量2019年至2022年漏洞修復的速度，並發現在漏洞修復領域僅取得了有限的進展。研究發現，在評估的160萬個組織中，有53%的組織至少有一個暴露在網際網路上的漏洞，而22%的組織每個都積累了1,000多個漏洞，這證實了保護組織的關鍵資產需要取得更多進展。

“漏洞修復的速度是組織網路安全健康狀況的首要指標，我們正在努力幫助這些組織加強 軟體安全檢測和防禦，並更好地評估越來越多的第三方軟體帶來的風險。”SecurityScorecard執行長Aleksandr Yampolskiy說。“這也證實了在當今快速演變的威脅環境中，組織必須迅速採取行動以更快地減少漏洞，而現在是採取行動的時候了。”

漏洞修復速度

為了衡量補救的速度和進展，該研究調查了問題被解決的速度以及它們在資產中持續的時間。研究顯示，金融行業是修復速度最慢的行業之一(修復50%的中位數= 426天)，而公用事業行業是修復速度最快的行業之一(中位數= 270天)。

令人驚訝的是，儘管針對已釋出漏洞利用程式碼的漏洞的利用活動增加了15倍，但幾乎沒有證據表明該部門的組織更快地修復了被利用的漏洞。不管在他們的領域中總共存在多少漏洞，組織通常每個月修復大約10%的漏洞。

“供應商和服務提供商可能存在漏洞，這就需要持續瞭解整個生態系統的安全性，”Cyentia Institute的合夥人Wade Baker表示。有了更大的可視性，組織可以根據資料情況對風險和補救措施進行優先排序。這是有效解決網路漏洞的關鍵。”

存在漏洞的地方

研究顯示，資訊部門(62.6%)和公共部門(61.6%)存在開放漏洞發生率最高。金融部門(48.6%)的開發漏洞比例最低。

分析顯示，組織通常需要12個月的時間來修復其面向網際網路的基礎設施中的一半漏洞。當公司的開放漏洞少於10個時，只需要一個月的時間就可以修復一半，但當名單增加到數百個時，需要一年的時間才能達到一半。隨著漏洞數量的持續增加，修復難度和時間都將增加。

文章來源：

https://www.helpnetsecurity.com/2022/06/14/vulnerability-remediation-speed/