您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

修補漏洞優先順序及效率研究

來自於研究機構Cyentia、RAND Corporation及Virginia Tech研究人員於6月舉辦的資訊安全經濟(Economics of Information Security)研討會中,發表一篇研究報告,探討企業修補漏洞的優先順序及效率,並指出2009年至2018年共9年期間,在全球被公開揭露的75,976個CVE漏洞中,約12.8%漏洞存在公開攻擊程式,但在實際攻擊行動中,只有約一半利用這些公開攻擊程式。

研究指出,大多數企業之修補漏洞政策均力求平衡,有些可能嘗試修補所有漏洞,卻造成缺乏效率的後果;有些則是優先修補少數高風險漏洞,但後者則需要更好的威脅預測與評估,而這即是目前不論是政府機關或私人企業都缺乏的關鍵能力。根據統計,這9年中所出現的7.6萬個漏洞中,約9,700個漏洞攻擊程式被公開,占所有漏洞總數的12.8%,另一方面,在實際的攻擊行動中,被利用的漏洞為4,200個,占所有漏洞的5%。不過,實際攻擊並非總是利用公開攻擊程式,分析顯示,這9,700個漏洞的公開攻擊程式只有2,100個被應用在實際攻擊中,代表駭客所利用的4,200個漏洞中,有一半的攻擊程式是自行開發的。

研究人員依據研究結果提出建議,企業或政府不應只仰賴漏洞攻擊程式曝光與否或CVSS分數來決定修補順序,因為在實際攻擊行動中,駭客所利用的漏洞至少有一半缺乏公開攻擊程式,所利用的漏洞亦只有不到一半CVSS分數高於9,應仔細評估漏洞之可利用性。

Reference

資料來源:
https://nakedsecurity.sophos.com/2019/06/07/whats-the-best-approach-to-patching-vulnerabilities/
https://www.ithome.com.tw/news/131208
完整研究報告請參閱
https://weis2019.econinfosec.org/wp-content/uploads/sites/6/2019/05/WEIS_2019_paper_53.pdf
技術服務中心整理

Publish Date
2019/6/21 0:00:00