行业新闻与博客

根据一项新的研究，组织主要根据合规性要求确定补丁更新的优先级，并使用常见漏洞评分系统（CVSS）与其漏洞管理程序进行斗争。

网络风险公司 Kenna Security 委托 Cyentia Institute 分析其自身平台上与 100 多家组织面临的修补挑战相关的数据。

也许不出所料，它发现具有高性能漏洞管理程序的人倾向于使用特定工具来根据网络风险确定补丁的优先级。

然而，报告声称，那些根据 CVSS 确定优先排序哪些漏洞的人比那些完全忽视它的组织表现更差。

尽管影响不那么严重，但使用合规性要求作为确定漏洞优先级和降低覆盖率的主要驱动因素之间也存在相关性。

“合规性通常是确定优先级的必要且重要的方法，但使用合规性作为与降低高风险漏洞总体覆盖率相关的主要补救策略，”Kenna Security 首席技术官 Ed Bellis 告诉 Infosecurity。

“我们认为使用一种补救策略，该策略的重点是漏洞被利用的可能性以及利用（高风险）的影响是最佳方法。CVSS 和其他一些方法不是衡量开发可能性的好方法，可能会导致公司完成更多的工作或完全忽略高风险漏洞。“

在其他地方，该报告发现，那些专门负责修补技术堆栈特定领域的公司往往在漏洞管理方面表现更好。声称，定义用于修复漏洞的服务级别协议（SLA）还可以提高修复的速度和整体性能。

更大的预算与更快地修复更多错误的能力增加相关。

据一家供应商称，去年公开披露了超过 22,000 个漏洞，其中三分之一的 CVSSv2 得分为 7 或以上。

非常感谢您对亚洲注册的支持与信任！

禁止转载