企业只能修复10%的漏洞？

最新研究表明，大部分组织机构正在竭尽所能赶上漏洞出现的速度。

企业只能修复10%的漏洞？

衡量安全性不缺乏度量标准——从漏洞和攻击的数量到拒绝服务攻击每秒的字节数。最近一份报告研究了组织机构需要多长时间来修复他们的系统漏洞，以及他们实际上修复的漏洞数量。

Kenna Security和the Cyentia研究所发布的报告《预测的优先次序第三卷：赢取修复竞赛》，带来了一些令人沮丧同时又让人惊讶的发现。

令人沮丧的发现是统计数据表明，企业只有能力修复其网络中10%的漏洞。公司规模对这一百分比的影响不大。

Kenna Security的首席技术官兼联合创始人Ed Bellis表示：

无论是否是一个小型企业，在一段特定时间内平均有10到100个漏洞，他们能够修复的漏洞比例和大型企业大致相同，即使这些大型企业每个月有超过1000万个开放漏洞。

换句话说，Bellis表示修复能力发展的速度与漏洞增长的速度大致相同。the Cyentia研究所的合伙人兼联合创始人Wade Baker表示：规模问题让我们意识到，可能在特定的时间范围内，组织机构能够解决的问题存在一个上限。

漏洞修复的速度因软件发布者而异。Bellis表示，微软和谷歌的软件漏洞往往能被大大小小的组织机构快速修复。修复时间最长的软件呢？老式软件和内部开发的代码。

不同行业的公司之间在补救时间上也存在巨大差异。投资，运输和石油/天然气/能源排在前面，能在最短时间内修复75％的被利用漏洞，在短短112天内就达成了这一目标。医疗、保险和零售/贸易需要的修复时间最长，达成目标花费了447天。

数据显示，一些组织机构能够做得比平均水平更好——在某些情况下，能够修复的漏洞比发现的漏洞更多，实际上领先于问题，走在了前面。研究人员尚不清楚的是，这些高绩效的公司正在做什么与众不同的工作。他们表示，这将是他们下一个研究主题。