在過去五年中，美國國家漏洞數(shù)據(jù)庫 （NVD） 每年都會打破上一年度的報告漏洞數(shù)量記錄，毫無疑問，2022年也將是如此，據(jù)業(yè)內(nèi)統(tǒng)計，迄今為止 2022 年平均每天會出現(xiàn)60多個新漏洞。

　　隨著威脅態(tài)勢的愈發(fā)嚴峻，安全團隊已經(jīng)無法跟上漏洞報告的速度，因疲于應對不斷爆發(fā)的安全漏洞，一些安全從業(yè)者甚至已經(jīng)對安全工作表現(xiàn)出了厭倦。

　　事實上，試圖修復一切漏洞并不是一項正確的決策。來自安全公司Kenna與Cyentia 研究所的一項數(shù)據(jù)研究證明，基于風險的漏洞管理 （RBVM） 方法已經(jīng)成為企業(yè)安全建設(shè)的核心思想，相比緊追漏洞報告修復漏洞的工作模式而言，采用RBVM風險管理模式的組織顯然能夠以更輕松的姿態(tài)在安全建設(shè)工作中取得更好的結(jié)果。

　　在過去，人們十分避諱“與漏洞風險共存”，每個人都將漏洞管理視為一個無足輕重的話題。但很少有組織能夠真正達到全部漏洞都已修復的狀態(tài)，因為這一目標的實現(xiàn)往往意味著大量人力、財力和物力資源的無意義消耗，大量的時間都會被浪費在修補那些構(gòu)不成真正威脅的漏洞上。

　　Cyentia 研究所發(fā)現(xiàn)，當前23%的已報告漏洞均發(fā)布了漏洞利用代碼，但只有2% 的漏洞已在野外觀察到漏洞利用的情況，因此，假設(shè)組織基于風險情報集中力量優(yōu)先補救關(guān)鍵漏洞，那將大大減少安全人員的工作壓力。

　　這項聯(lián)合研究對Kenna監(jiān)測到的組織對漏洞的修復能力、速度、覆蓋率和效率等多個維度的數(shù)據(jù)進行了統(tǒng)計分析，分享了一個優(yōu)秀的RBVM 工作方法為相關(guān)組織提供安全指引：

　　上圖左側(cè)的百分比容量代表著被監(jiān)測組織平均每個月修復的漏洞數(shù)量，因此可以看到，無論是處于哪一個安全基線的組織都在修復大量的公開漏洞，安全實力卓越的組織針對公開漏洞的修復速度有了很大的提升。

　　從這一張統(tǒng)計分析圖中能夠看到，隨著時間的推移，相比2016年時，公開漏洞的修復效率已經(jīng)得到了顯著提升，2016年時漏洞的半衰期（即修復一半新發(fā)現(xiàn)漏洞所需的時間）甚至會超過 125 天。而在過去四年中，半衰期已從 32 天減少到 21 天，減少了三分之一以上。

　　統(tǒng)計顯示，2018年左右，公開漏洞覆蓋率和效率都在35%左右。通過上圖的曲線比較也可以看到，漏洞修復的效率與覆蓋度相關(guān)，如果漏洞修復優(yōu)先級策略沒有重大變化的話，改進其中一個指標往往會相應的導致令一個指標的下降。例如，想要增加漏洞修復的覆蓋范圍，就必須去補救更多低危漏洞，但這會降低關(guān)鍵漏洞的修復效率。

　　此外我們能看到，自2017年以來報告的漏洞數(shù)量每年都在增加，但大量的組織已經(jīng)開始采用基于風險的漏洞管理方法來完成漏洞修復工作，通過關(guān)注風險來過濾大量無效漏洞帶來的噪音，這也使得監(jiān)測到的公開漏洞的修復效率和覆蓋率都得以持續(xù)的提高。

　　研究最后指出，在行業(yè)已經(jīng)逐漸探索出更智能的漏洞管理方法的同時，互聯(lián)網(wǎng)平臺和軟件的供應商的響應效率也在變得更加高。以微軟舉例來說，微軟定期發(fā)布的安全補丁對于供應鏈下游組織修復漏洞的效率產(chǎn)生了重大的影響，監(jiān)測數(shù)據(jù)顯示，絕大多數(shù)組織都在安全更新發(fā)布后的22天內(nèi)修復了半數(shù)以上的報告中發(fā)布的漏洞。

　　安全人才的短缺也讓安全形勢進一步復雜化，但好在漏洞管理的工作方法正在得到優(yōu)化，組織逐漸意識到不再需要全部修復所有的安全漏洞，而是轉(zhuǎn)換以控制風險的視角來看待自身的安全性，通過采用基于風險的漏洞管理 （RBVM） 方法讓安全工作重新回歸理性。

更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<