3.5倍!组织修补CISA KEV列表中的漏洞比其他漏洞要快
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
研究发现,联邦政府维护的已知被利用漏洞(KEV)目录对组织机构产生实质影响。修补KEV目录中的漏洞比非KEV漏洞快3.5倍。Bitsight对100多万个实体进行的漏洞扫描显示,KEV漏洞修复时间中位数为174天,非KEV漏洞修复时间为621天。科技公司是最快修复漏洞的行业,教育机构和地方政府修复时间较慢。CISA最近在KEV列表中添加了两个漏洞,其中一个影响微软产品中的SmartScreen组件。
🎯
关键要点
- 联邦政府维护的已知被利用漏洞(KEV)目录对组织机构产生实质影响。
- 修补KEV目录中的漏洞比非KEV漏洞快3.5倍,修复时间中位数分别为174天和621天。
- 科技公司是最快修复漏洞的行业,教育机构和地方政府修复时间较慢。
- CISA最近在KEV列表中添加了两个漏洞,其中一个影响微软产品中的SmartScreen组件。
- 受CISA约束性指令监管的联邦民事机构更有可能在截止日期前解决KEV漏洞,概率高出63%。
- 截止日期的变化反映了漏洞的严重性和被利用的紧急性。
- 新添加的漏洞CVE-2024-29988与网络钓鱼攻击相关,影响SmartScreen安全功能。
❓
延伸问答
什么是已知被利用漏洞(KEV)目录?
已知被利用漏洞(KEV)目录是由联邦政府维护的,记录被黑客积极利用的软件和硬件漏洞。
修补KEV漏洞的速度与非KEV漏洞相比如何?
修补KEV漏洞的速度比非KEV漏洞快3.5倍,修复时间中位数分别为174天和621天。
哪些行业修复漏洞的速度最快?
科技公司是修复漏洞速度最快的行业,而教育机构和地方政府修复时间较慢。
CISA对KEV漏洞的截止日期是如何变化的?
CISA对KEV漏洞的截止日期从最初的一周、两周或六个月,调整为三周,最近又规定为一周。
CVE-2024-29988漏洞影响了哪些产品?
CVE-2024-29988漏洞影响了微软产品中的SmartScreen组件。
受CISA约束的联邦机构在解决KEV漏洞方面的表现如何?
受CISA约束的联邦民事机构更有可能在截止日期前解决KEV漏洞,概率高出63%。
➡️
