在一半的公司使用漏洞评估
对2,100个组织的研究揭示了组织如何评估网络风险的全球知识,不到一半使用战略漏洞评估。
根据经营acitional报道,只有48%的组织轮询使用成熟或中等成熟的程序,包括基于业务关键性的计算机资源的有针对性和量身定制的计算机资源扫描,并根据其网络防御者的基础元件的基础元素。
该报告使用数据科学和现实世界遥测数据来分析组织如何评估其对脆弱性的接触,以改善网络安全姿势。
在使用战略漏洞评估的这些组织中,该研究发现,只有5%的时间显示最高程度,具有全面的资产覆盖其计划的基石。
“勤奋”方法代表了最高水平的成熟程度,实现了近连续的可见性,在资产安全或暴露的地方以及通过高评估频率的程度。
报告称,在频谱的另一端,33%的组织采取了“极简主义”的漏洞评估方法,从而按照合规授权的要求,执行“明确的最低”,从而提高了对业务影响的网络事件的风险。该集团代表了很多受风险的企业,仍有一些工作要做,以批判的决定,以便首先改善关键绩效指标。
宗旨的先前研究表明,网络攻击者通常有一个中位的七天的机会窗口,以利用众所周知的脆弱性,在被捍卫者甚至确定他们脆弱之前。
最近的报告称,,实际世界差距与企业如何进行企业进行漏洞评估,差异较小,风险较低,最新报告称。
“在不太遥远的未来,组织将落入那些上升到减少网络风险的挑战的那些类别或那些未能适应现代计算环境中不断发展和加速威胁景观的人的类别,” Tom Parsons,产品管理高级总监,扶贫。
“这项研究是对我们行业的行动呼吁,以认真对待利益返回网络防御者,从漏洞的严格和纪律评估为成熟漏洞管理的基础,最终网络曝光。”
该研究分析了超过60个不同国家的组织的遥测数据超过三个月,以确定可以帮助组织的独特的安全成熟度风格和战略洞察。
除了“勤奋”和“极简主义”方法之外,该研究确定了另外两种脆弱性评估策略。
“测量师”方法的特点是频繁的广泛漏洞评估,但扫描模板的身份验证很少。在那些审查的组织中,19%的方法遵循这种方法,将它们放在较低的中等成熟。
“调查员”方法的特点是执行高成熟度的脆弱性评估,但仅评估选择性资产。在审查的组织中,45%遵循这种方法,表明基于良好扫描节奏,有针对性的扫描模板,广泛资产认证和优先级的实体策略。
“考虑到涉及管理漏洞的挑战,从管理层获得买入,与诸如IT运营等不同业务单位的合作,维护员工和技能以及规模的复杂性,这是一个很大的成就,并提供了一个坚实的基础报告说,进一步成熟。
该报告所述组织跨越了各级成熟度,使组织受益于避免“散发出解方法”到漏洞评估,而是使战略决策和采用更成熟的策略,如频繁,经过身份验证的扫描,以提高漏洞评估计划的疗效。