Nul
De fleste sårbarheder forbliver uændrede af virksomheden en måned efter opdagelsen, har forskere fundet.
I henhold til CA Veracode ‘ s seneste State of Software Security (SOSS) rapport, op til 70 procent af fejl forbliver uændrede fire uger efter offentliggørelse, og tæt på 55 procent er ikke løst tre måneder efter opdagelse.
Sårbarheder, der påvirker organisationen netværk, apps og infrastruktur er ikke alle lige, og en del af ansvaret sikkerhed praksis kræver, at DEN ansatte triage problemer at løse, og lappe de fejl, der betragtes som den mest farlige for selskabet.
Men ifølge cybersecurity firma, 25 procent af sårbarheder, som er tilskrevet i høj sværhedsgrad ratings er ikke taget op i 290 dage, og en fjerdedel af synlige fejl, som ikke kan være så kritisk, forbliver uændrede godt efter et år.
I alt Veracode siger, at omkring én ud af fire sårbarheder er løst inden for 21 dage, men dette er stadig potentielt åbner en kanal for en vellykket cyberangreb.
Som vi så i tilfælde af Equifax data, brud, hvor 146 mio kunde registrerer blev udsat for, en manglende evne til at lappe inden for en rimelig tidsramme, kan få katastrofale konsekvenser for en virksomhed.
Se også: De mest interessante Internet-tilsluttede køretøj, hacks på rekord
Kredit overvågning service er bruddet skyldtes, at de udnytter en sårbarhed i Apache Stivere ramme, CVE-2017-5638, som et plaster var blevet stillet til rådighed måneder før cyberangreb.
Et interessant aspekt af rapporten er de regionale forskelle, der synes at eksistere, når det kommer til sårbarhed oprydning. Virksomheder i Asien og Stillehavsområdet (APAC) region er den hurtigste til at handle, lappe en fjerdedel af fejl inden for et gennemsnit på otte dage. Dette er efterfulgt af 22 dage for OS, og 28 dage for organisationer i Europa og Mellemøsten (EMEA).
Mens hurtige reaktion synes at være en styrke i APAC-regionen, er dette svar ikke tage hensyn til alle relevante sårbarheder. Det tager i gennemsnit 413 dage for virksomheder i OS, for at løse op til 75 procent af fejl, og dobbelt så lang tid for virksomheder i APAC-og EMEA for at følge trop.
Apps, på det hele, forbliver sårbare, med mindst 80 procent af alle ansøgninger, der indeholder mindst én sårbarhed, og over 30 procent af disse er betragtet som meget alvorlige.
Når det kommer til open-source-sikkerhed, virksomheden stadig behov for at forbedre. Ifølge den forskning, over 85 procent af de apps, der anvendes af selskaber, der indeholder mindst én sårbarhed — og selvom dette ikke nødvendigvis et problem, hvis de er lav-effekt, 13 procent anses for høj risiko.
TechRepublic: Hvordan Rotter inficere computere med skadelig software
Men virksomheden kan ikke forventes at løse alle security fejl eller fejl, så snart det er offentliggjort. Virksomheder er ikke kun ved hjælp af en bred vifte af tjenester og apps, men kan også være ved hjælp af open-source komponenter og biblioteker — hvilket skaber et stort potentiale angreb overflade for dem til at holde øje med.
På trods af disse udfordringer, at den rapport, der foreslår, at staten cybersecurity i virksomheden er langsomt i bedring.
I alt anslås det, at 69 procent af sårbarheder er i sidste ende lukket enten gennem afhjælpning eller begrænsning, hvilket er en stigning på 12 procent år-til-år.
CNET: det Hvide Hus ønsker at låne tech arbejdstagere fra Google, Amazon, siger rapport
“Sikkerheds-minded organisationer har erkendt, at indlejring sikkerhed, design og test direkte i den løbende levering af software cyklus er afgørende for at nå DevSecOps principper for balance, hastighed, fleksibilitet, og risk management,” siger Chris Eng, vice president for Forskning på CA Veracode. “Disse gradvise forbedringer over tid, at en betydelig fordel i konkurrenceevne i markedet og et stort fald i risiko, der er forbundet med sårbarheder.”
Tidligere og relaterede dækning
Dette er, hvordan regeringen spyware StrongPity bruger sikkerheds-forskernes arbejde imod dem Google News app-fejl brænder gennem gigabyte bruger mobil data Projektet Lakhta: russiske nationale opkrævet med OS valget indblanding
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0