您的位置: 网界网 > 周报全文 > 正文

[周报全文]调查发现 补丁管理仍然是风险管理的绊脚石

2012年06月26日 14:41:32 | 作者:CNW.com.cn | 来源:网界网 | 查看本文手机版

摘要:McAfee对美国、欧洲、巴西、澳大利亚和新加坡的438名IT专家进行了一项调查,发现安全方面的主要挑战已经从可视性转为IT操作。

标签
瑞星
私有云
信息安全服务

McAfee对美国、欧洲、巴西、澳大利亚和新加坡的438名IT专家进行了一项调查,发现安全方面的主要挑战已经从可视性转为IT操作。其中有五分之四的受访者认为对IT环境中威胁姿态的可视性非常重要; 有四分之一的受访者认为良好的可视性为自己每周节省了6到10小时的工作时间。但是该调查发现,给软件打补丁仍然是阻碍风险管理的一块绊脚石。

McAfee的报告称,在大规模调整以及针对已知漏洞的恶意代码出现之前,很多企业都没把补丁管理放在首要位置。现在,补丁管理必须成为减少恶意代码持续威胁,以及解决服从性问题的首选方法。这些顾虑也促使企业加强对信息资产的控制和监管。几乎一半的受访企业每月都要安装补丁,更有近三分之一的企业将此作为每周的常规工作。但这是一个耗时、耗钱的过程。受访的IT专家们指出,他们试图减少漏洞修补的频率以便节省成本。

约一半的受访公司称,他们可以精确地找到与漏洞和威胁相关的风险,“其中43%的公司指出自己的保护措施有些过度。”这种保护或许在本质上是必要的,因为去年美国国家漏洞数据库报道的漏洞数量为3532个。

由于受微软每月的周期性补丁影响,其他软件厂商也纷纷效仿微软在每月的第二个周二发布补丁。定期打补丁对保障安全是很重要的,70%的受访者称这些事件只是暂时中断自己的工作,但只有13%的受访者认为干扰比较大。

各公司不得不服从的规定是支付卡行业数据安全标准(PCI-DSS)、Sarbanes-Oxley、医疗护理行业的HIPAA规定等。如金融行业的巴塞尔协议(Basel Accords)。最普遍的服从性框架据说是ISO,ITIL和COBIT。

受访者指出最具挑战性的规定围绕数据库安全展开,主要关注的是访问控制,而且试图在常规使用的基础上进行监控。其他需要用到的控件则是数据加密以及区分职责。

大约四分之三的受访公司称他们使用数据库监控工具,有18%的公司称他们计划今年开始使用这一工具。此外,审计、更改管理、配置评估、文件完整性的监控以及类似的工具已经应用到六成以上的受访公司中,剩下的四成公司则计划今年晚些时候再部署。

McAfee的报告透露,约 27%的IT安全预算都依靠服从性来推动,这一数据和2011年的调查数据差不多。去年(+微信关注网络世界),85%的企业执行了的审计不超过十次,但是有1%的公司执行的审计次数在41到60次之间。该调查称45%的受访者承认至少有过一次失败的审计经历,尽管37%的受访者通过了随访,但还有8%的受访者有过被处罚的经历,因为他们没有达到政府或行业标准。

该报告称审计价格昂贵,2011年请第三方做审计的平均费用为10万美元,尽管有39%的公司设法将成本保持在10万到50万美元之间,但还是有10%的公司实际花费高于25万美元。好消息是企业的平均花费似乎比2010年的要少,2010年的年平均花费为16万美元。

[责任编辑:孙可 sun_ke@cnw.com.cn]