金融服務行業監管嚴格,我們總會假定金融服務機構會及時處理可能導致數據洩露的缺陷和漏洞。
客戶看到的公開漏洞中有70%都出自3家主流供應商:Oracle、微軟和Adobe。
這是網絡安全公司 Kenna Security 研究調查過企業的漏洞應對方式之後得出的結論。他們的研究報告題為《從排序到預測》,文末附有全文下載入口鏈接。
報告指出:Oracle留下的公開漏洞佔了34%,微軟和Adobe各佔17%。鑑於這三家公司的巨大市場份額,這個漏洞比例毫不令人意外。
而且,企業網絡中發現的漏洞有40%直到今天都沒補上。75%的CVE在公佈一年之後都還洞開。雖然這一狀況可以解釋為其中一些缺陷並不嚴重,但CVE可是有很多都沒給出風險評分的。
Kenna Security 聲稱,已經發現的可利用漏洞高達5.44億個之巨,且這一數量還僅佔企業漏洞總數的5%!
其首席技術官 Ed Bellis 在電子郵件聲明中評論道:緩解風險程度最高的漏洞對大多數企業而言是可行的。儘管最近幾年重大數據洩露頻發,調查結果顯示:公司企業可以且應該暫緩大多數漏洞的緩解工作,這些不應該排在優先處理事項的漏洞往往以百萬計。
“
大多數漏洞即便被利用也沒什麼風險。這意味著公司企業可以優化其資源安排,優先處理風險程度最高的那5%。
銀行應用也受公開漏洞的影響
Kenna Security 的研究揭示了可利用漏洞數量之巨,應用安全企業Veracode也發佈了一份類似的報告,稱67%的銀行應用有信息洩露的風險。
Veracode的報告題為《軟件安全狀態》,指出2/3以上的銀行應用有被黑客用於盜取敏感數據的風險,黑客拿到這些數據後可進一步利用該應用或其用戶。
Veracode歐洲、中東、非洲、亞太及日本地區總監 Paul Farrington 稱:因為金融機構和銀行持有高價值信息及關鍵資產,他們仍將是網絡罪犯和惡意黑客的目標。
“
我們的數據顯示,金融服務行業掃描大量應用,找出需要修復的漏洞。這很令人欣慰,但接下來就是要提升修復速度,因為速度非常重要。企業修復漏洞的速度直接反映出應用的風險等級。金融行業在安排漏洞修復優先順序時應考慮方方面面的風險。
需指出的是,Veracode和 Kenna Security 都是與網絡研究機構 Cyentia Institute 合作編寫出他們的報告的。
Kenna Security 《從排序到預測》報告:
https://www.kennasecurity.com/prioritization-to-prediction-report-volume-two/
Veracode《軟件安全狀態》報告:
https://www.veracode.com/sites/default/files/pdf/resources/ipapers/state-of-software-security-volume-9/index.html
相關閱讀
漏洞補丁如何打? 優選是關鍵
調查:新漏洞的出現速度比安全團隊的修復速度更快
閱讀更多 安全牛 的文章
