欢迎来到永胜在线
国内最专业的科技资讯提供商

IT团队敦促不要优先使用CVSS的补丁

根据一项新的研究,那些主要根据遵从性需求对补丁更新进行优先级排序,并使用公共漏洞评分系统(CVSS)的组织与他们的漏洞管理程序斗争。

网络风险公司Kenna Security委托赛恩蒂亚研究所分析其平台上的数据,这些数据与100多个组织面临的补丁挑战有关。

也许并不令人意外的是,它发现那些具有高性能漏洞管理程序的人倾向于使用特定的工具来根据网络风险对补丁进行优先级排序。

然而,报告称,那些主要基于CVSS的决定优先考虑哪些漏洞的组织比那些完全忽略它的组织表现得更差。

尽管影响没有那么严重,但是在将遵从性需求作为优先级划分漏洞的主要驱动程序和较低的覆盖率之间也存在相关性。

“遵从性通常是确定优先级的必要和重要方法,但是将遵从性作为主要的补救策略与减少高风险漏洞的总体覆盖相关,”肯纳安全技术总监Ed Bellis告诉infosecsecurity。

“我们认为,采用一种既关注脆弱性被开发的可能性,又关注开发的影响(高风险)的补救策略是最佳方法。CVSS和其他一些方法不能很好地衡量利用可能性,可能导致公司做更多的工作,或完全错过高风险漏洞。”

此外,该报告还发现,那些专门为技术栈的特定领域提供补丁的公司,往往在漏洞管理方面表现得更好。它声称,为修复漏洞定义服务级别协议(service-level agreement, sla)还可以提高修复的速度和总体性能。

更大的预算与更快地修复更多bug的能力增强相关。

据一家供应商称,去年公开披露的漏洞超过2.2万个,其中三分之一的漏洞得分达到或高于CVSSv2。

历史上的今天
八月
22
    哇哦~~~,历史上的今天没发表过文章哦
赞(0)
未经允许不得转载:永胜在线 » IT团队敦促不要优先使用CVSS的补丁
分享到: 更多 (0)
标签:

相关推荐

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  • Q Q(选填)

永胜在线科技网 更权威 更方便

永胜在线联系我们