全球近48%的企业已经接受了战略漏洞评估 - 定义为成熟或中等成熟的计划,包括针对性和定制扫描,并根据业务关键性确定计算资源的优先级 - 作为其网络防御的基本要素,是降低风险的关键一步,最新Tenable报告显示。
然而,在这些企业中,只有5%表现出最高的成熟度,综合资产覆盖率是其计划的基石。另一方面,33%的企业采用简约的方法进行漏洞评估,按照合规性要求进行最低限度的处理,并增加影响业务的网络事件的风险。
您的漏洞评估策略是什么?
Tenable之前的报告显示,在企业认定他们易受攻击之前,攻击者通常有7天的中间窗口利用已知漏洞。由此产生的七天差距与企业进行漏洞评估的方式直接相关 - 方法越具战略性和成熟性,差距越小,业务风险越小。
“在不久的将来,将有两种类型的企业 - 那些能够应对降低网络风险的人和那些无法适应现代计算环境中不断变化和加速的威胁形势的企业,”Tom Parsons说, Tenable产品管理高级总监。
“这项研究呼吁企业采取行动,认真对待保护网络安全的优势,从对漏洞的严格和严格评估开始,作为成熟漏洞管理的基础,最终是网络曝光。”
Tenable Research使用数据科学分析了来自60多个不同国家的2,100个企业的遥测数据超过三个月,以确定不同的安全成熟度风格和战略见解,可帮助企业管理,衡量并最终降低网络风险。。
Tenable发现有四种不同的漏洞评估策略:
极简主义者按照合规性要求执行最低限度的漏洞评估。 33%的企业属于此类别,仅对选定的资产进行有限的评估。这代表了许多面临风险但仍有一些工作要做的企业,需要做出关键决策,以便首先改进哪些关键绩效指标。
Surveyor经常进行广泛的漏洞评估,但很少对扫描模板进行身份验证和自定义。 19%的企业遵循测量方式,将其置于中低成熟度。
调查员执行具有高成熟度的漏洞评估,但仅评估选择性资产。 43%的人遵循调查风格,表明基于良好的扫描节奏,有针对性的扫描模板,广泛的资产认证和优先级划分的可靠策略。考虑到管理漏洞,确保管理层的支持,与IT运营等不同业务部门合作,维护员工和技能以及规模的复杂性所涉及的挑战,这是一项伟大的成就,并为成熟提供了坚实的基础进一步。
Diligent代表最高级别的成熟度,通过高评估频率实现资产安全或暴露的近乎连续的可见性。只有5%的企业属于此类别,显示全面的资产覆盖范围,有针对性的定制评估以及根据用例要求定制扫描。
在各个成熟度级别上,企业都可以避免采用分散的漏洞评估方法,而是制定战略决策并采用更成熟的策略(如频繁的,经过身份验证的扫描)来提高漏洞评估计划的效率。
“如果你是后来的采用者,那就意味着你还有更多的工作要做。 这也意味着您可以从早期采用者的错误和经验中学习。 您可以从经过验证的产品中获益,而不是让您的企业成为未经验证的,新颖的和不成熟的解决方案的测试平台。 您还可以利用现有的专业知识库,而不是尝试从头开始制定策略。 跳过实验阶段,您将准备好进入优化和创新阶段。
“而且,如果你认同这里强调的最成熟的漏洞评估策略,那并不意味着你可以进行漫长的休假。 即使是最老练的防守者也知道他们的工作从未完成。“