金融服務行業監管嚴格,我們總會假定金融服務機構會及時處理可能導致數據泄露的缺陷和漏洞。

客戶看到的公開漏洞中有70%都出自3家主流供應商:Oracle、微軟和Adobe。

這是網絡安全公司 Kenna Security 研究調查過企業的漏洞應對方式之后得出的結論。他們的研究報告題為《從排序到預測》,文末附有全文下載入口鏈接。

報告指出:Oracle留下的公開漏洞占了34%,微軟和Adobe各占17%。鑒于這三家公司的巨大市場份額,這個漏洞比例毫不令人意外。

而且,企業網絡中發現的漏洞有40%直到今天都沒補上。75%的CVE在公布一年之后都還洞開。雖然這一狀況可以解釋為其中一些缺陷并不嚴重,但CVE可是有很多都沒給出風險評分的。

Kenna Security 聲稱,已經發現的可利用漏洞高達5.44億個之巨,且這一數量還僅占企業漏洞總數的5%!

其首席技術官 Ed Bellis 在電子郵件聲明中評論道:緩解風險程度最高的漏洞對大多數企業而言是可行的。盡管最近幾年重大數據泄露頻發,調查結果顯示:公司企業可以且應該暫緩大多數漏洞的緩解工作,這些不應該排在優先處理事項的漏洞往往以百萬計。

“大多數漏洞即便被利用也沒什么風險。這意味著公司企業可以優化其資源安排,優先處理風險程度最高的那5%。

銀行應用也受公開漏洞的影響

Kenna Security 的研究揭示了可利用漏洞數量之巨,應用安全企業Veracode也發布了一份類似的報告,稱67%的銀行應用有信息泄露的風險。

Veracode的報告題為《軟件安全狀態》,指出2/3以上的銀行應用有被黑客用于盜取敏感數據的風險,黑客拿到這些數據后可進一步利用該應用或其用戶。

Veracode歐洲、中東、非洲、亞太及日本地區總監 Paul Farrington 稱:因為金融機構和銀行持有高價值信息及關鍵資產,他們仍將是網絡罪犯和惡意黑客的目標。“

我們的數據顯示,金融服務行業掃描大量應用,找出需要修復的漏洞。這很令人欣慰,但接下來就是要提升修復速度,因為速度非常重要。企業修復漏洞的速度直接反映出應用的風險等級。金融行業在安排漏洞修復優先順序時應考慮方方面面的風險。

需指出的是,Veracode和 Kenna Security 都是與網絡研究機構 Cyentia Institute 合作編寫出他們的報告的。

Kenna Security 《從排序到預測》報告:

https://www.kennasecurity.com/prioritization-to-prediction-report-volume-two/

Veracode《軟件安全狀態》報告:

https://www.veracode.com/sites/default/files/pdf/resources/ipapers/state-of-software-security-volume-9/index.html