Zero
La maggior parte delle vulnerabilità rimangono privi di patch da parte dell’impresa di un mese dopo la scoperta, i ricercatori hanno trovato.
Secondo CA Veracode più recente Stato della Sicurezza del Software (SOSS) relazione, fino al 70 per cento di bug rimangono senza patch quattro settimane dopo la divulgazione, e vicino al 55 per cento non vengono risolti tre mesi dopo la scoperta.
Vulnerabilità che colpiscono organizzazione di reti, le applicazioni e le infrastrutture non sono tutte uguali, e parte del responsabile pratiche di sicurezza richiedono che il personale di triage problemi da risolvere e patch per i bug che sono considerati i più pericolosi per la società.
Tuttavia, secondo la cybersecurity impresa, il 25 per cento di vulnerabilità che sono attribuiti ad alta livelli di gravità non vengono affrontate all’interno di 290 giorni, e un quarto di comunicati bug che non può essere così critici rimangono senza patch dopo un anno.
In totale, Veracode dice che circa uno su quattro vulnerabilità risolte entro 21 giorni, ma ancora potenzialmente foglie di aprire un canale di successo gli attacchi informatici.
Come abbiamo visto, nel caso di Equifax violazione dei dati, in cui 146 milioni di record di clienti sono stati esposti, un errore di patch entro un ragionevole lasso di tempo può avere conseguenze disastrose per la società.
Vedi anche: La più interessante connessi a Internet, veicolo hack su record
Il servizio di monitoraggio del credito, della violazione dei dati è dovuta a sfruttare una vulnerabilità del Apache framework Struts, CVE-2017-5638, di cui una patch era stata resa disponibile mesi prima dell’attacco.
Un aspetto interessante del rapporto è la differenze regionali che sembrano esistere quando si tratta di vulnerabilità. Aziende nella regione Asia-Pacifico (APAC) regione sono il modo più veloce per legge, l’applicazione di patch di un quarto di bug all’interno di una media di otto giorni. Questo è seguito da 22 giorni e 28 giorni per le organizzazioni in Europa e il Medio Oriente (EMEA).
Mentre la rapida risposta sembra essere un punto di forza della regione APAC, questa risposta non tiene conto di tutte le vulnerabilità. Ci vuole una media di 413 giorni per le imprese nella risoluzione di fino a 75 per cento di bug, e il doppio del tempo per le aziende in APAC ed EMEA per seguire l’esempio.
Applicazioni, su tutto, restano vulnerabili, con almeno l ‘ 80% delle applicazioni contenenti almeno una vulnerabilità, e oltre il 30 per cento di questi sono considerati di alta gravità.
Quando si tratta di aprire-sorgente di sicurezza, l’impresa deve ancora migliorare. Secondo la ricerca, oltre l ‘ 85 per cento delle applicazioni utilizzate da aziende contenere almeno una vulnerabilità-e mentre questo non è necessariamente un problema se essi sono a basso impatto, il 13 per cento sono considerati ad alto rischio.
TechRepublic: Come Ratti infettare i computer con il software dannoso
Tuttavia, l’impresa non può essere previsto per risolvere ogni problema di sicurezza o bug non appena viene divulgata pubblicamente. Le aziende non sono solo utilizzando una vasta gamma di servizi e applicazioni, ma può anche essere utilizzando componenti open-source e librerie, che crea un enorme potenziale superficie di attacco per loro di tenere d’occhio.
Nonostante queste difficoltà, il rapporto suggerisce che lo stato della sicurezza informatica in azienda è in lento miglioramento.
In totale, si stima che il 69 per cento di vulnerabilità sono finalmente ha chiuso attraverso la bonifica o di mitigazione, che è un aumento del 12 per cento anno-su-anno.
CNET: Casa Bianca vuole prendere in prestito tech lavoratori da Google, Amazon, dice rapporto
“La sicurezza-organizzazioni hanno riconosciuto che l’incorporazione di sicurezza di progettazione e collaudo direttamente nel software continuo ciclo di consegna è essenziale per ottenere il DevSecOps principi di equilibrio di velocità, la flessibilità e la gestione del rischio,” dice Chris Ita, vice presidente della Ricerca presso CA Veracode. “Questi miglioramenti incrementali nel tempo un significativo vantaggio in termini di competitività sul mercato e un enorme calo di rischio associati con le vulnerabilità.”
Precedente e relativa copertura
Questo è come il governo spyware StrongPity utilizza i ricercatori di sicurezza di lavoro contro di loro Google News app bug brucia gigabyte di utente mobile di dati di Progetto Lakhta: nazionale russa di carica con NOI elezione ingerenza
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0