回顾过去,补丁管理最初不是作为网络安全问题,而是作为IT系统管理的一个领域。直到2001年红色代码出现,微软才开始发布补丁来解决其软件中的安全漏洞。随后,2009年、2011年、2012年大量网络蠕虫病毒(包括2017年的WannaCry)频繁爆发,震惊了业界,补丁管理也正式被重视为安全问题。当时:管理复杂性1999年,非营利性研发组织MITRE启动了常见漏洞和暴露(CVE)项目。该项目旨在公开发布软件或固件中所有已知漏洞的“字典”,供组织查找自身风险。2011年,美国国家标准技术研究院(NIST)开发了国家漏洞数据库(NVD),这是一个综合性的网络安全漏洞数据库,整合了美国政府所有公开的漏洞资源,提供行业资源参考。它与CVE列表同步并基于CVE列表,后者使用评分系统来评估风险的严重程度。如今,NVD已成为安全组织跟踪漏洞并根据风险评分确定漏洞优先级的有效工具。从2011年开始,补丁管理开始演变成整个行业的最佳安全实践。然而,随着数据库中漏洞数量的不断增长和IT基础设施的复杂性增加,补丁管理开始变得越来越复杂。它不可能总是像更新软件一样简单,因为有些系统是关键任务,无法承受中断;一些组织在预算或人才方面没有专门的资源来定期应用测试、部署和安装补丁。NVD的创建是漏洞和补丁管理方面的一大进步。然而,两个新出现的问题导致当今安全行业在补丁管理方面面临挑战。第一个问题是时间。延迟始终是一个问题,一旦攻击者、研究人员或企业识别出漏洞,从披露漏洞到发布补丁,然后应用以确保漏洞不被恶意行为者利用,这就是一场与时间的赛跑。过去需要15到60天的时间现在已减少到大约2周。但并非每个漏洞都有解决方案。业界普遍存在一种误解,认为每个漏洞都可以通过补丁修复,但事实并非如此。数据显示,补丁管理只能覆盖10%的已知漏洞。这意味着其他90%的已知漏洞无法修补,从而为组织提供了两个选择——要么更改补偿控制,要么修复代码。第二个问题是NVD基本上已被恶意行为者武器化。虽然NVD旨在帮助组织抵御威胁行为者,但同样的工具也可用于在短时间内发起攻击。在过去五年中,威胁行为者通过使用自动化和机器学习技术提高了攻击技能。现在,他们可以根据NVD中的漏洞数据快速轻松地扫描未打??补丁的系统。自动化和机器学习的兴起使威胁行为者能够快速确定组织正在使用的软件版本,并与NVD进行交叉检查以确定尚未修补的内容。现在,一场“非对称”战争正在上演:组织正试图通过补丁管理确保修复每个漏洞,而恶意行为者则在寻找尚未修补的漏洞。现实情况通常是,一个未修补的漏洞足以让威胁行为者消灭安全组织的全部努力。这就是为什么补丁管理现在是组织在安全方面的强制性要求,而不仅仅是IT部门的责任。如今,补丁管理是证明组织遵守安全法规的强制性要求,也是网络保险的硬性要求。随着勒索软件的兴起,关键任务医院系统也受到威胁,他们的补丁管理受到审查也就不足为奇了。然而,IT和安全团队不堪重负,无法跟上任务的步伐。补丁管理正逐渐变得超出人类的能力范围。该行业迫切需要一种新的解决方案。现在:基于风险优先级策略的补丁管理主要有三个参与者:安全分析师、IT专业人员和攻击者。不幸的是,安全团队和IT团队之间经常存在很多摩擦,使他们无法成功抵御攻击者。这也导致了一种“非对称”威胁:攻击者只需要知道一个弱点或漏洞就可以成功,而防御者必须知道每一个才能保护自己。安全分析师经常需要对网络安全威胁和攻击进行分类和响应。他们经常使用各种安全工具并浏览威胁资源来评估和了解风险,并随时了解可能对组织产生负面影响的威胁情报、政府警报和安全事件。IT团队肩负着系统可用性和响应能力的重任,这使得他们在实施补丁时犹豫不决,除非优先考虑风险。他们必须平衡组织维持连续正常运行时间的需求与实施计划外安全补丁的需求,如果在没有测试或审查的情况下安装这些补丁,可能会对系统性能和可靠性产生负面影响。这些专业人员还经常孤立工作,在其职责范围内管理IT维护和风险。利用这些安全漏洞发动大规模和复杂攻击的威胁行为者。他们越来越多地使用“网络犯罪即服务”来获得最大影响。例如,Conti是当今较大的勒索软件团伙之一,采用勒索软件即服务模式运营。美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)最近观察到,在针对美国和国际组织的400多起攻击中,Conti勒索软件的使用越来越多。要赢得勒索软件战争并有效抵御网络犯罪,安全和IT团队必须通力合作。他们必须为了一个共同的目标团结起来对抗攻击者;必须合作摘取所有唾手可得的果实并减少修补时间,使攻击者难以继续攻击其他目标。这就是基于风险的漏洞管理概念发挥作用的地方。IT和安全团队不能也没有精力修补每一个漏洞,他们不应该尝试修补每一件小事。相反,它们应该根据影响和风险优先级进行修补。今天,存在200,000个独特的漏洞,其中22,000个有补丁。然而,在通过漏洞利用或恶意软件武器化的2??5,000个漏洞中,只有2,000个有补丁。这意味着IT和安全团队可以暂时忽略其他20,000个补丁,并优先实施这2,000个补丁。为此,组织必须确定构成最高风险的武器化漏洞。假设有6,000个能够远程执行代码的武器化漏洞利用和589个补丁可用。但在这6,000个武器化漏洞中,只有130个处于活动状态,这意味着攻击者将在野外攻击它们。对于130个活动漏洞,有68个补丁可用。IT和安全团队必须优先实施这68个补丁。领先的安全企业、从业者和分析公司建议采用基于风险的方法来识别漏洞并确定漏洞的优先级,然后加快修复速度。同时,白宫还发布了一份备忘录,鼓励组织使用基于风险的评估策略来促进补丁管理和加强网络安全以抵御勒索软件攻击。总之,组织必须专注于修补风险最高的漏洞。为此,组织需要深入了解每个补丁以及可利用的、武器化的和与勒索软件相关的漏洞。通过结合使用基于风险的漏洞优先级排序和自动修补,组织可以确保根据威胁风险对补丁进行优先排序。未来:向超自动化演进在安全方面,每个组织都应该遵循两个原则:生成安全代码和创造良好的网络环境。当开发人员生成代码时,他们必须能够在安全漏洞影响下游之前立即发现它们。至于创建健康的网络环境,补丁管理仍将是组织可以采取的更重要的主动步骤之一。左移和右移原则在应用程序安全中得到很好的理解和讨论,我们也应该将它们扩展到设备管理中。原因如下:未修补的漏洞仍然是当今网络攻击中更常见的渗透点之一。由于组织需要将系统快速迁移到云端以支持“无处不在”的工作场所,由未修补漏洞引起的安全事件将继续增加,使本已复杂的补丁管理变得更加困难。最近的一项调查证实了这一点,该调查发现漏洞修补继续面临资源挑战和业务可靠性问题,62%的受访者表示修补经常让位于其他任务,60%的受访者表示修补会导致用户工作流程中断。今天,我们生活在一个无边界的世界中,攻击面和暴露半径已显着扩大。漏洞被武器化的速度急剧增加,进一步加剧了这种威胁。组织必须考虑所有可能的暴露区域——来自API、容器、云以及从不同位置访问网络的所有设备。可以想象,如果要在未打补丁的漏洞被利用之前部署补丁,仅靠人力是不可能完成此类数据的收集、发现和分析的。然而,我们也取得了一些进展——补丁管理已经发展到根据风险确定漏洞优先级的阶段。这是个好消息,但随着漏洞的发展和IT基础设施和设备在网络中的不断扩散,仅基于风险的方法是不够的。因此,补丁管理的未来将取决于自动化——或者更准确地说,是超级自动化。组织需要实时主动预测,以便他们能够识别、理解和响应机器模式,跟上威胁参与者的复杂性。如果存在已知的漏洞、漏洞利用和解决方法,安全团队需要能够以最少的人为干预主动和预测地应用解决方案。今天,每个人都在谈论MLOps(机器学习操作)、AIOps(人工智能操作)和DataOps(数据操作)。随着我们通过超级自动化提高运营效率,这些实践将开始变得不那么重要。我们应该期待看到漏洞管理和威胁分析的融合,组织可以通过使用人工智能和机器学习等工具以机器速度审查威胁情报,以更自动化的方式管理漏洞,而几乎不需要人工干预。在这个过程中,自动化将完成大部分工作和分析,而人类只是根据提供的分析结果采取适当行动的最终仲裁者。在接下来的五年里,我们将看到超级自动化在补丁管理中的广泛采用。2022年将是重点关注自动化创新的重要一年,但2023-2025年将是行业从“基于风险”的补丁管理向“超自动化”管理过渡的时期。到2025年,我们应该会看到更多的安全控制被编码并嵌入到软件中,例如策略即代码、安全即代码和开发即代码。我们还将补丁视为代码,将漏洞视为代码,并将漏洞枚举视为代码。“XXiscode”可能会成为未来十年的热门词汇。补丁管理的未来将侧重于自动化,尤其是漏洞扫描过程。我们必须像预防保健一样对待补丁管理。未来,监控企业IT环境的健康只会变得更加复杂,就像在疫情期间监控全人类的健康状况一样,所以是时候开始考虑自动化这样的工具了。
