一份最新的研究報告顯示,雖然企業修補漏洞的速度已經有所改進,但仍趕不上漏洞攻擊的加速度。
Qualys技術長兼資深工程副總裁Gerhard Eschelbeck在11月15日的CSI電腦資訊安全會議上公佈了2005年「漏洞法則」(Laws of Vulnerabilities)的最新研究報告。結果指出,企業在修補漏洞的速度已有所改善,但是仍有三分之二,或者將近7成的系統,仍有遭受攻擊的危險。
Eschelbeck三年來持續分析及統計漏洞資料建立他所謂的「漏洞法則」,藉此為企業指出網路安全的趨勢,並做為因應網路威脅的參考。根據該公司的新聞稿指出,今年的漏洞法則統計分析將近2100萬個重大(critical)漏洞,搜集了3200萬筆的網路即時掃瞄,是目前最龐大的網路漏洞真實資料。
資料分析顯示,企業的修補程序在內部系統方面改進了23%,「半生期」(half-life,企業修補一半系統所需的時間)從62天降至48天;外部系統改進了10%,半生期從21天降低至19天。然而,「發動攻擊」(time-to-exploit)的時間週期大幅縮短。目前,有85%的損害,都在攻擊爆發的15天內;有90%的攻擊是由其中10%的重大漏洞所引起。同時,有80%的攻擊在漏洞的半生期內就已經出現。
這份研究也發現,無線系統的威脅相當小,重大漏洞裡只有2萬個是由無線裝置所引起。但漏洞也快速的從伺服器端(server side)轉移到用戶端(client side)。新發現的重大漏洞中有60%以上來自用戶端裝置。通常,用戶端漏洞都必需有使用者的動作,例如造訪惡意網站,或者是開啟受感染的檔案。(編譯/郭和杰)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
Advertisement