|
|
大多数网站有严重的,不固定的漏洞,灰鸽子下载,远程控制软件
在最近的一次分析30000多个网站,大多数至少有一个严重的漏洞去年150或更多天。
“这些漏洞可以给你带来麻烦,”耶利米格罗斯曼说,创始人WhiteHat Security,背后的公司报告。
他们可以妥协的部分或全部你的系统,获取用户数据,或接管账户。
这些类型的漏洞需要迅速固定,使新闻标题之前,他补充说:灰鸽子远程控制软件,灰鸽子使用教程。
(还在方案:零天,Web浏览器漏洞激增2014]
零售网站排名第二的漏洞,以55%的网站每天都有至少一个严重的漏洞。
表现最差?公共管理网站,64%的人每天都脆弱。
但这不是一个简单的问题未能保持最新的补丁,格罗斯曼说。
“一个或百分之二的漏洞是patchable,”他说。“大多数,我们发现只在自定义web应用程序软件。”
深入为什么这些漏洞不固定,WhiteHat与118客户公司进行了深入调查,大小从初创公司到财富50强。
最大的因素是一个组织的修复工作是由合规或减少风险的原因。
那些关注合规最低数量的漏洞,只有12元的网站。他们还修复率最高,关闭打开的比率漏洞研究期间内,为86%。
组织主要由风险降低了平均23漏洞的网站,和修复率仅为18%。
原因之一可能是公司,专注于风险优先级漏洞和修复只有那些落进了不可接受的风险类别。
同时,遵从性驱动的公司花了更长的时间来修复漏洞,为风险驱动的公司相比158天至158天。
这可能是因为他们可以等到修复漏洞之前下一个审计。另一个重要因素是漏洞是否投入公司的缺陷追踪系统。
漏洞扫描和渗透测试的形式经常回来报告,格罗斯曼说。
“有人抄写错误交通系统,”他说。“但有时他们就把报告在栅栏和告诉开发人员照顾它。”
组织一个过程将漏洞结果到缺陷跟踪系统,平均减少了45%的漏洞,提高修复率13分。
“当公司这样做,这可能是最接近行业最佳实践,“格罗斯曼说。“似乎影响每个人都非常积极的在所有主要的度量。”
解决问题的需要,公司将员工分配给抄写漏洞报告,因为他们进来,或使用安全供应商让他们把结果到缺陷跟踪系统。
“正直善良的好公民,我们有一个API来导出脆弱性数据我们发现到XML,“格罗斯曼说。“我们的顾客有其缺陷追踪系统以编程方式连接,所以它就自动流入系统,成为开发人员的工作流程的一部分。” |
|
加载中...
发表于 2015-5-30 12:33:44
发表于 2015-5-30 12:33:46