熊元嘉

補丁管理的未來將專注于自動化，尤其是漏洞掃描過程的自動化。我們必須像對待預防保健一樣對待補丁管理。

回顧過去，補丁管理起初并不是一個網(wǎng)絡(luò)安全問題，而是屬于IT系統(tǒng)管理的范疇。直到2001年Code Red的出現(xiàn)，微軟才開始發(fā)布補丁來解決其軟件中的安全漏洞問題。隨后2009年、2011年和2012年大量互聯(lián)網(wǎng)蠕蟲，包括2017年的WannaCry頻繁爆發(fā)，震驚業(yè)界，補丁管理正式作為安全問題受到重視。

過去：管理不斷復雜

1999年，非營利研發(fā)組織MITRE發(fā)起“通用漏洞和暴露（CVE）項目”。該項目是公開發(fā)布軟件或固件中所有已知漏洞的“字典”，供企業(yè)組織查詢自身風險。

2011年，美國國家標準技術(shù)研究所（NIST）開發(fā)國家漏洞數(shù)據(jù)庫（NVD），它是一個綜合性的網(wǎng)絡(luò)安全漏洞數(shù)據(jù)庫，整合了所有公開的美國政府漏洞資源，提供行業(yè)資源參考。它與CVE列表同步并基于CVE列表，該列表使用評分系統(tǒng)來評估風險的嚴重性。如今，NVD已經(jīng)成為安全組織跟蹤漏洞，并根據(jù)風險評分確定優(yōu)先級的有效工具。

從2011年開始，補丁管理開始演變?yōu)檎麄€行業(yè)較佳的安全實踐。然而，隨著數(shù)據(jù)庫中漏洞數(shù)量的不斷增長，以及IT基礎(chǔ)設(shè)施復雜性的增加，補丁管理開始逐漸走向復雜。它無法總是像更新一個軟件那么簡單，因為有些系統(tǒng)是關(guān)鍵任務，不能承受中斷，一些組織在預算或人才方面沒有專門資源，來定期應用測試、部署和安裝補丁。

NVD的創(chuàng)建是漏洞和補丁管理的一大進步。然而，2個新出現(xiàn)的問題導致如今的安全行業(yè)在補丁管理方面面臨挑戰(zhàn)。

第一個問題是時間。延遲問題始終存在，一旦攻擊者、研究人員或企業(yè)識別出漏洞，就等于開始了一場與時間的賽跑，從漏洞被披露到發(fā)布補丁，再到應用補丁以確保漏洞不會被惡意行為者利用。過去需要的時間是15～60天，如今已經(jīng)減少至2周左右。但并非每個漏洞都有解決方案。業(yè)界有一個普遍的誤解，即每個漏洞都可以通過補丁修復，但事實并非如此。數(shù)據(jù)顯示，只有10 %的已知漏洞可以被補丁管理覆蓋。這意味著其他90 %的已知漏洞無法修補，這給了組織2種選擇———要么更改補償控制，要么修復代碼。

第二個問題是NVD基本上已被惡意行為者武器化了。雖然NVD旨在幫助組織抵御威脅行為者，但相同的工具在短時間內(nèi)也能用于發(fā)起進攻性攻擊。過去5年中，威脅參與者通過使用自動化和機器學習技術(shù)提高了他們的攻擊技能。如今，他們可以根據(jù)NVD中的漏洞數(shù)據(jù)快速、輕松地掃描未打補丁的系統(tǒng)。自動化和機器學習的興起，使得威脅參與者能夠快速確定組織正在使用哪些軟件版本，并通過與NVD進行交叉檢查來確定尚未修補的內(nèi)容。

現(xiàn)在，一場不對稱的戰(zhàn)爭正在上演：組織正試圖通過補丁管理以確保修復每個漏洞，而惡意行為者正尋找尚未修補的漏洞?，F(xiàn)實往往是威脅參與者只需一個未修補的漏洞，就能將安全組織的全部努力付之一炬。這就是為什么補丁管理現(xiàn)在是組織在安全方面的一個強制性要求，而不僅僅是IT部門責任的原因。

如今，補丁管理是證明組織符合安全法規(guī)的強制性要求，同時也是網(wǎng)絡(luò)保險的硬性要求。隨著勒索軟件的興起，關(guān)乎生死攸關(guān)關(guān)鍵任務的醫(yī)院系統(tǒng)同樣面臨威脅，其補丁管理受到嚴格審查，也就成了理所當然的事情。然而，IT和安全團隊自顧不暇，根本無法跟上任務的步伐，補丁管理逐漸成為人力所不能及的事情，業(yè)界亟需一種新的解決方法。

現(xiàn)在：基于風險優(yōu)先級策略

在補丁管理方面存在3個主要參與者：安全分析師、IT專業(yè)人員和攻擊者。不幸的是，安全團隊和IT團隊之間通常存在很多摩擦，導致他們無法成功防御攻擊者。這也導致了一種不對稱的威脅：攻擊者只需要知道一個弱點或漏洞就能獲得成功，而防御者必須知道每個弱點或漏洞來保護自己。

安全分析師需要不斷地對網(wǎng)絡(luò)安全威脅和攻擊進行分類和響應。他們經(jīng)常使用各種安全工具和瀏覽威脅資源以評估和了解風險，并始終了解可能對組織產(chǎn)生負面影響的威脅情報、政府警報和安全事件。

IT團隊的任務是系統(tǒng)可用性和響應能力，這使得他們對是否實施補丁猶豫不決，除非明確風險優(yōu)先級。他們必須平衡組織保持持續(xù)正常運行與實施計劃外安全補丁的需求，如果未經(jīng)測試或?qū)彶榫桶惭b補丁，可能會對系統(tǒng)性能和可靠性產(chǎn)生負面影響。這些專業(yè)人員還經(jīng)常在孤島中工作，管理其職責范圍內(nèi)的IT維護和風險。

威脅參與者，他們會利用這些安全漏洞來發(fā)動大規(guī)模復雜攻擊。他們越來越多地利用“網(wǎng)絡(luò)犯罪即服務”來實現(xiàn)最大影響力。例如，Conti是當今較大的勒索軟件團伙之一，以勒索軟件即服務模式運行。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）以及聯(lián)邦調(diào)查局（FBI）近期觀察到，在針對美國和國際組織的400多次攻擊中，Conti勒索軟件的使用頻率正不斷增加。

為了打贏勒索軟件戰(zhàn)爭并有效防御網(wǎng)絡(luò)犯罪，安全和IT團隊必須通力合作。他們必須為了共同的目標團結(jié)起來對抗攻擊者，必須合作采摘所有唾手可得的果實并減少修補時間。使攻擊者很難轉(zhuǎn)移到其他目標，這就是基于風險的漏洞管理概念發(fā)揮作用的地方。IT和安全團隊不可能也沒有精力修補所有漏洞，他們不應該試圖修補每一件小事，相反地，他們應該根據(jù)影響和風險優(yōu)先級進行修補。

如今，存在200 000個獨特的漏洞，其中22 000個有補丁。然而，在通過漏洞利用或惡意軟件武器化的25 000個漏洞中，只有2 000個有補丁。這意味著IT和安全團隊可以暫時忽略其他20 000個補丁，而優(yōu)先實施這2 000補丁。為此，企業(yè)組織必須確定構(gòu)成最高風險的武器化漏洞。假設(shè)6 000個武器化漏洞能夠遠程執(zhí)行代碼，并且有589個補丁可用。但在這6 000個武器化漏洞中，只有130個處于活躍狀態(tài)中，也就是說攻擊者將在野攻擊這些漏洞。對于這130個活躍漏洞，有68個補丁可用。IT和安全團隊必須優(yōu)先實施這68個補丁。

主流安全企業(yè)、從業(yè)者和分析公司建議，采用基于風險的方法來識別漏洞并確定優(yōu)先級，然后加速修復。同時，美國白宮日前也發(fā)布了一份備忘錄，鼓勵組織使用基于風險的評估策略來推動補丁管理，并加強網(wǎng)絡(luò)安全以抵御勒索軟件攻擊?？傊?，組織必須專注于修補最高級別風險漏洞。為此，組織需要深入了解每個補丁以及可利用、武器化并與勒索軟件有關(guān)的漏洞。通過結(jié)合使用基于風險的漏洞優(yōu)先級和自動化補丁，組織可以確保根據(jù)威脅風險對補丁進行優(yōu)先級排序。

未來：向超自動化演進

在安全方面，每個組織都應該遵循2個原則：生成安全代碼和營造良好的網(wǎng)絡(luò)環(huán)境。當開發(fā)人員生成代碼時，必須能夠立即發(fā)現(xiàn)安全漏洞以避免影響到下游。至于營造良好的網(wǎng)絡(luò)環(huán)境，補丁管理仍將是組織可以采取的較為重要的主動措施。左移和右移原則在應用程序安全中得到了很好的理解和討論，也應該將它們擴展到設(shè)備管理方面。

原因如下：未修補漏洞仍然是當今網(wǎng)絡(luò)攻擊中較為常見的滲透點之一。由于組織需要將系統(tǒng)快速遷移至云來支持“無處不在的”工作場所，由未修補漏洞引發(fā)的安全事件將不斷增加，使得本就十分復雜的補丁管理變得更加困難。最近的一項調(diào)查也證實了這一點，他們發(fā)現(xiàn)，漏洞修補繼續(xù)面臨資源挑戰(zhàn)和業(yè)務可靠性問題，62 %的受訪者表示修補經(jīng)常讓位于其他任務，60 %的受訪者表示修補會導致用戶工作流程中斷。

如今，我們正生活在一個無邊界的世界中，攻擊面和暴露半徑顯著擴大。漏洞武器化速度顯著提升進一步加劇了這種威脅。組織必須考慮所有可能暴露的領(lǐng)域———從API、容器、云以及從不同位置訪問網(wǎng)絡(luò)的所有設(shè)備等?？梢韵胂螅胍谖葱扪a的漏洞被利用前部署補丁，僅依靠人力根本無法完成此類數(shù)據(jù)的收集、發(fā)現(xiàn)和分析過程。

不過，我們也取得了一些進展———補丁管理已經(jīng)發(fā)展到基于風險進行漏洞優(yōu)先級排序的階段。這是好消息，但隨著漏洞的演變以及IT基礎(chǔ)設(shè)施和設(shè)備持續(xù)在網(wǎng)絡(luò)中擴散，僅依靠基于風險的方法還不夠。出于這個原因，補丁管理的未來將取決于自動化———或者更準確地說是超自動化。組織需要實時主動預測，以便能夠以機器識別、理解和響應模式，跟上威脅行為者的復雜性。如果存在已知漏洞、漏洞利用和解決方案，安全團隊需要能夠在極少人為干預的情況下，主動、預測性地應用解決方案。

如今，大家都在討論機器學習操作（MLOps）、人工智能操作（AIOps）以及數(shù)據(jù)操作（DataOps）。隨著我們通過超自動化提高運營效率，這些實踐將開始變得不那么重要。我們應該期望看到漏洞管理和威脅分析的融合，組織可以通過使用人工智能和機器學習等工具，以機器的速度審查威脅情報，而幾乎無需人工干預，從而以更自動化的方式管理漏洞。在此過程中，自動化將完成大部分工作和分析，而人只是根據(jù)提供的分析結(jié)果采取適當行動的最終仲裁者。

在接下來的5年中，我們將看到超自動化在補丁管理中的廣泛應用。2022年將是關(guān)注自動化創(chuàng)新的重要年份，但2023-2025年將是該行業(yè)從“基于風險的”補丁管理過渡到“超自動化”管理的時期。到2025年，應該會看到更多的安全控制被編寫成代碼并嵌入到軟件中，例如策略即代碼、安全性即代碼和開發(fā)即代碼。我們同樣會將補丁視為代碼，將漏洞視為代碼，將漏洞枚舉視為代碼?！癤X即代碼”或?qū)⒊蔀槲磥硎甑牧餍行g(shù)語。

補丁管理的未來將專注于自動化，尤其是漏洞掃描過程的自動化。我們必須像對待預防保健一樣對待補丁管理。未來，監(jiān)測企業(yè)IT環(huán)境的健康狀況只會變得越來越復雜，就像在疫情期間監(jiān)控整個人類的健康狀況一樣，所以是時候開始思考自動化之類的工具了。