修補漏洞優先順序及效率研究

• 發布日期：108-12-09
• 發布單位：刑事警察大隊

來自於研究機構Cyentia、RAND Corporation及Virginia Tech研究人員於6月舉辦的資訊安全經濟(Economics of Information Security)研討會中，發表一篇研究報告，探討企業修補漏洞的優先順序及效率，並指出2009年至2018年共9年期間，在全球被公開揭露的75,976個CVE漏洞中，約12.8%漏洞存在公開攻擊程式，但在實際攻擊行動中，只有約一半利用這些公開攻擊程式。
研究指出，大多數企業之修補漏洞政策均力求平衡，有些可能嘗試修補所有漏洞，卻造成缺乏效率的後果；有些則是優先修補少數高風險漏洞，但後者則需要更好的威脅預測與評估，而這即是目前不論是政府機關或私人企業都缺乏的關鍵能力。根據統計，這9年中所出現的7.6萬個漏洞中，約9,700個漏洞攻擊程式被公開，占所有漏洞總數的12.8%，另一方面，在實際的攻擊行動中，被利用的漏洞為4,200個，占所有漏洞的5%。不過，實際攻擊並非總是利用公開攻擊程式，分析顯示，這9,700個漏洞的公開攻擊程式只有2,100個被應用在實際攻擊中，代表駭客所利用的4,200個漏洞中，有一半的攻擊程式是自行開發的。
研究人員依據研究結果提出建議，企業或政府不應只仰賴漏洞攻擊程式曝光與否或CVSS分數來決定修補順序，因為在實際攻擊行動中，駭客所利用的漏洞至少有一半缺乏公開攻擊程式，所利用的漏洞亦只有不到一半CVSS分數高於9，應仔細評估漏洞之可利用性。
資料來源參考：
https://nakedsecurity.sophos.com/2019/06/07/whats-the-best-approach-to-patching-vulnerabilities/
https://www.ithome.com.tw/news/131208
完整研究報告請參閱
https://weis2019.econinfosec.org/wp-content/uploads/sites/6/2019/05/WEIS_2019_paper_53.pdf
參考網站：
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16256