过去两年来,近60%的数据泄露事件都可以追溯到操作系统或应用未打补丁的原因。端点安全初创公司Automox,最近调查了大型机构(500至2.5万名员工)的560名IT及安全从业者。结果显示,过去两年来81%的机构都遭遇过数据泄露。
许多人都知道,钓鱼攻击是数据泄露最主要的原因。但很少有人知道,操作系统或应用程序未打补丁,以及配置错误,也是数据泄露的主要原因。调查显示,排名前三的数据泄露事件,38%的由网络钓鱼引起,操作系统未打补丁是第二大原因占30%,应用程序未打补丁排到第三(28%)。也就是说,未打补丁占到了58%。
打补丁是个老难题
可以看出,改善补丁管理能够显著提升企业安全工作的有效性。但为什么还是有很多补丁打不上呢?
其实补丁管理是一个绝对老调重弹的安全措施,因为它一直都是个艰苦的工作(去年的CVE列表上有一万两千多个漏洞)。Automox这次的调查显示,只有不到一半的企业可以在关键漏洞披露之后的72小时内打上补丁,只有20%的企业能够在24小时以内打上零日漏洞。
任何企业都不可能把所有的漏洞都补上,因此打补丁实际上是一个优先选择的问题,哪些漏洞必须打补丁,以及先打哪些补丁。BitSight的CTO斯蒂芬·博耶尔曾表示,美国某国防承包商实施某个补丁的成本高达25万美元。当然,并非所有的补丁都这么贵。不过,考虑到美国公司的平均时薪为25美元,如果给每个员工10分钟的系统更新时间,一个拥有5万名员工的机构,就是20.8万美元的生产力损失,这还是没有把各部门间的各种协调工作算在内的情况下。这个时候再来想一想,每年成千上万的漏洞披露……
相对而言小企业则省事的多,它们没有那些复杂的隶属于不同部门的应用系统和令人难以忍受的批准流程。除此之外,大型企业庞杂的老旧系统也是个大问题。BitSight的调查显示,在今年1月份微软宣布Windows7停服后,万名员工以上的企业有90%还在使用Windows7,而小于千名员工的企业这一比例只占到了61%。
即使一些亟需更新的重大漏洞,未打补丁的情况也会长期存在。以去年夏天微软的远程桌面协议漏洞Bluekeep为例,2019年7月份约有79万个系统未打补丁,一直到了今天还有将近3.8万个系统未打补丁(BitSight调查)。
远程办公加剧补丁难题
在优化补丁选择和加固系统方面,Automox的受访者列出了一些具体的实施困难。如移动用户和远程办公用户使用的系统,这些系统的补丁测试效率低下,而且缺乏对终端的可见性,以及安全服务人员甚至是IT运营人员的短缺。
最近发生的新冠病毒疫情,大量员工在家办公,更是恶化了本来就困难的补丁管理工作。没有防火墙的办公环境,甚至连正确安装了安全软件的终端办公设备也不具备。在这种情况下,只能依靠远程补丁管理来解决。但新的问题来了,如果在升级过程中出错怎么办?用户无法登录到某个应用呢?没有安装他们本该安装的程序呢?尤其是某些使用核心关键系统的用户,在远程管理工作的任何一个过程中出了问题,谁来承担责任?
企业可能只能听天由命,看看一个用户到底能坚持多长时间不打补丁了。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。