回顧過(guò)去，補(bǔ)丁管理起初并不是一個(gè)網(wǎng)絡(luò)安全問(wèn)題，而是屬于IT系統(tǒng)管理的范疇。直到2001年Code Red的出現(xiàn)，微軟才開(kāi)始發(fā)布補(bǔ)丁來(lái)解決其軟件中的安全漏洞問(wèn)題。隨后2009年、2011年和2012年大量互聯(lián)網(wǎng)蠕蟲(chóng)(包括2017年的WannaCry)頻繁爆發(fā)，震驚業(yè)界，補(bǔ)丁管理正式作為安全問(wèn)題受到重視。

過(guò)去：管理不斷復(fù)雜

1999年，非營(yíng)利研發(fā)組織MITRE發(fā)起“通用漏洞和暴露”(CVE)項(xiàng)目。該項(xiàng)目是公開(kāi)發(fā)布軟件或固件中所有已知漏洞的“字典”，供企業(yè)組織查詢自身風(fēng)險(xiǎn)。

2011年，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NIST)開(kāi)發(fā)國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)，它是一個(gè)綜合性的網(wǎng)絡(luò)安全漏洞數(shù)據(jù)庫(kù)，整合了所有公開(kāi)的美國(guó)政府漏洞資源，提供行業(yè)資源參考。它與CVE列表同步并基于CVE列表，該列表使用評(píng)分系統(tǒng)來(lái)評(píng)估風(fēng)險(xiǎn)的嚴(yán)重性。如今，NVD已經(jīng)成為安全組織跟蹤漏洞，并根據(jù)風(fēng)險(xiǎn)評(píng)分確定優(yōu)先級(jí)的有效工具。

從2011年開(kāi)始，補(bǔ)丁管理開(kāi)始演變?yōu)檎麄€(gè)行業(yè)較佳的安全實(shí)踐。然而，隨著數(shù)據(jù)庫(kù)中漏洞數(shù)量的不斷增長(zhǎng)，以及IT基礎(chǔ)設(shè)施復(fù)雜性的增加，補(bǔ)丁管理開(kāi)始逐漸走向復(fù)雜。它無(wú)法總是像更新一個(gè)軟件那么簡(jiǎn)單，因?yàn)橛行┫到y(tǒng)是關(guān)鍵任務(wù)，不能承受中斷;一些組織在預(yù)算或人才方面沒(méi)有專門(mén)資源，來(lái)定期應(yīng)用測(cè)試、部署和安裝補(bǔ)丁。

NVD的創(chuàng)建是漏洞和補(bǔ)丁管理的一大進(jìn)步。然而，兩個(gè)新出現(xiàn)的問(wèn)題導(dǎo)致如今的安全行業(yè)在補(bǔ)丁管理方面面臨挑戰(zhàn)。

第一個(gè)問(wèn)題是時(shí)間。延遲問(wèn)題始終存在，一旦攻擊者、研究人員或企業(yè)識(shí)別出漏洞，就等于開(kāi)始了一場(chǎng)與時(shí)間的賽跑，從漏洞被披露到發(fā)布補(bǔ)丁，再到應(yīng)用補(bǔ)丁以確保漏洞不會(huì)被惡意行為者利用。過(guò)去需要的時(shí)間是15到60天，如今已經(jīng)減少至2周左右。但并非每個(gè)漏洞都有解決方案。業(yè)界有一個(gè)普遍的誤解，即每個(gè)漏洞都可以通過(guò)補(bǔ)丁修復(fù)，但事實(shí)并非如此。數(shù)據(jù)顯示，只有10%的已知漏洞可以被補(bǔ)丁管理覆蓋。這意味著其他90%的已知漏洞無(wú)法修補(bǔ)，這給了組織兩種選擇——要么更改補(bǔ)償控制，要么修復(fù)代碼。

第二個(gè)問(wèn)題是NVD基本上已被惡意行為者武器化了。雖然NVD旨在幫助組織抵御威脅行為者，但相同的工具在短時(shí)間內(nèi)也能用于發(fā)起進(jìn)攻性攻擊。過(guò)去五年中，威脅參與者通過(guò)使用自動(dòng)化和機(jī)器學(xué)習(xí)技術(shù)提高了他們的攻擊技能。如今，他們可以根據(jù)NVD中的漏洞數(shù)據(jù)快速、輕松地掃描未打補(bǔ)丁的系統(tǒng)。自動(dòng)化和機(jī)器學(xué)習(xí)的興起，使得威脅參與者能夠快速確定組織正在使用哪些軟件版本，并通過(guò)與NVD進(jìn)行交叉檢查來(lái)確定尚未修補(bǔ)的內(nèi)容。

現(xiàn)在，一場(chǎng)“不對(duì)稱”的戰(zhàn)爭(zhēng)正在上演：組織正試圖通過(guò)補(bǔ)丁管理以確保修復(fù)每個(gè)漏洞，而惡意行為者正尋找尚未修補(bǔ)的漏洞。現(xiàn)實(shí)往往是威脅參與者只需一個(gè)未修補(bǔ)的漏洞，就能將安全組織的全部努力付之一炬。這就是為什么補(bǔ)丁管理現(xiàn)在是組織在安全方面的一個(gè)強(qiáng)制性要求，而不僅僅是IT部門(mén)責(zé)任的原因。

如今，補(bǔ)丁管理是證明組織符合安全法規(guī)的強(qiáng)制性要求，同時(shí)也是網(wǎng)絡(luò)保險(xiǎn)的硬性要求。隨著勒索軟件的興起，關(guān)乎生死攸關(guān)關(guān)鍵任務(wù)的醫(yī)院系統(tǒng)同樣面臨威脅，其補(bǔ)丁管理受到嚴(yán)格審查，也就成了理所當(dāng)然的事情。然而，IT和安全團(tuán)隊(duì)自顧不暇，根本無(wú)法跟上任務(wù)的步伐，補(bǔ)丁管理逐漸成為人力所不能及的事情，業(yè)界亟需一種新的解決方法。

現(xiàn)在：基于風(fēng)險(xiǎn)優(yōu)先級(jí)策略

在補(bǔ)丁管理方面存在三個(gè)主要參與者：安全分析師、IT專業(yè)人員和攻擊者。不幸的是，安全團(tuán)隊(duì)和IT團(tuán)隊(duì)之間通常存在很多摩擦，導(dǎo)致他們無(wú)法成功防御攻擊者。這也導(dǎo)致了一種“不對(duì)稱”的威脅：攻擊者只需要知道一個(gè)弱點(diǎn)或漏洞就能獲得成功，而防御者必須知道每個(gè)弱點(diǎn)或漏洞來(lái)保護(hù)自己。

安全分析師需要不斷地對(duì)網(wǎng)絡(luò)安全威脅和攻擊進(jìn)行分類和響應(yīng)。他們經(jīng)常使用各種安全工具和瀏覽威脅資源以評(píng)估和了解風(fēng)險(xiǎn)，并始終了解可能對(duì)組織產(chǎn)生負(fù)面影響的威脅情報(bào)、政府警報(bào)和安全事件。

IT團(tuán)隊(duì)的任務(wù)是系統(tǒng)可用性和響應(yīng)能力，這使得他們對(duì)是否實(shí)施補(bǔ)丁猶豫不決，除非明確風(fēng)險(xiǎn)優(yōu)先級(jí)。他們必須平衡組織保持持續(xù)正常運(yùn)行與實(shí)施計(jì)劃外安全補(bǔ)丁的需求，如果未經(jīng)測(cè)試或?qū)彶榫桶惭b補(bǔ)丁，可能會(huì)對(duì)系統(tǒng)性能和可靠性產(chǎn)生負(fù)面影響。這些專業(yè)人員還經(jīng)常在孤島中工作，管理其職責(zé)范圍內(nèi)的IT維護(hù)和風(fēng)險(xiǎn)。

威脅參與者，他們會(huì)利用這些安全漏洞來(lái)發(fā)動(dòng)大規(guī)模復(fù)雜攻擊。他們?cè)絹?lái)越多地利用“網(wǎng)絡(luò)犯罪即服務(wù)”來(lái)實(shí)現(xiàn)最大影響力。例如，Conti是當(dāng)今較大的勒索軟件團(tuán)伙之一，以勒索軟件即服務(wù)模式運(yùn)行。美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和聯(lián)邦調(diào)查局(FBI)近期觀察到，在針對(duì)美國(guó)和國(guó)際組織的400多次攻擊中，Conti勒索軟件的使用頻率正不斷增加。

為了打贏勒索軟件戰(zhàn)爭(zhēng)并有效防御網(wǎng)絡(luò)犯罪，安全和IT團(tuán)隊(duì)必須通力合作。他們必須為了共同的目標(biāo)團(tuán)結(jié)起來(lái)對(duì)抗攻擊者;必須合作采摘所有唾手可得的果實(shí)并減少修補(bǔ)時(shí)間，使攻擊者很難轉(zhuǎn)移到其他目標(biāo)。這就是基于風(fēng)險(xiǎn)的漏洞管理概念發(fā)揮作用的地方。IT和安全團(tuán)隊(duì)不可能也沒(méi)有精力修補(bǔ)所有漏洞，他們不應(yīng)該試圖修補(bǔ)每一件小事。相反地，他們應(yīng)該根據(jù)影響和風(fēng)險(xiǎn)優(yōu)先級(jí)進(jìn)行修補(bǔ)。

如今，存在200,000個(gè)獨(dú)特的漏洞，其中22,000個(gè)有補(bǔ)丁。然而，在通過(guò)漏洞利用或惡意軟件武器化的25,000 個(gè)漏洞中，只有2,000個(gè)有補(bǔ)丁。這意味著IT和安全團(tuán)隊(duì)可以暫時(shí)忽略其他20,000個(gè)補(bǔ)丁，而優(yōu)先實(shí)施這2,000補(bǔ)丁。為此，企業(yè)組織必須確定構(gòu)成最高風(fēng)險(xiǎn)的武器化漏洞。假設(shè)6,000個(gè)武器化漏洞能夠遠(yuǎn)程執(zhí)行代碼，并且有589個(gè)補(bǔ)丁可用。但在這6,000個(gè)武器化漏洞中，只有130個(gè)處于活躍狀態(tài)中，也就是說(shuō)攻擊者將在野攻擊這些漏洞。對(duì)于這130個(gè)活躍漏洞，有68個(gè)補(bǔ)丁可用。IT和安全團(tuán)隊(duì)必須優(yōu)先實(shí)施這68個(gè)補(bǔ)丁。

主流安全企業(yè)、從業(yè)者和分析公司建議，采用基于風(fēng)險(xiǎn)的方法來(lái)識(shí)別漏洞并確定優(yōu)先級(jí)，然后加速修復(fù)。同時(shí)，美國(guó)白宮日前也發(fā)布了一份備忘錄，鼓勵(lì)組織使用基于風(fēng)險(xiǎn)的評(píng)估策略來(lái)推動(dòng)補(bǔ)丁管理，并加強(qiáng)網(wǎng)絡(luò)安全以抵御勒索軟件攻擊。總之，組織必須專注于修補(bǔ)最高級(jí)別風(fēng)險(xiǎn)漏洞。為此，組織需要深入了解每個(gè)補(bǔ)丁以及可利用、武器化并與勒索軟件有關(guān)的漏洞。通過(guò)結(jié)合使用基于風(fēng)險(xiǎn)的漏洞優(yōu)先級(jí)和自動(dòng)化補(bǔ)丁，組織可以確保根據(jù)威脅風(fēng)險(xiǎn)對(duì)補(bǔ)丁進(jìn)行優(yōu)先級(jí)排序。

未來(lái)：向超自動(dòng)化演進(jìn)

在安全方面，每個(gè)組織都應(yīng)該遵循兩個(gè)原則：生成安全代碼和營(yíng)造良好的網(wǎng)絡(luò)環(huán)境。當(dāng)開(kāi)發(fā)人員生成代碼時(shí)，必須能夠立即發(fā)現(xiàn)安全漏洞以避免影響到下游。至于營(yíng)造良好的網(wǎng)絡(luò)環(huán)境，補(bǔ)丁管理仍將是組織可以采取的較為重要的主動(dòng)措施。左移和右移原則在應(yīng)用程序安全中得到了很好的理解和討論，我們也應(yīng)該將它們擴(kuò)展到設(shè)備管理方面。

原因如下：未修補(bǔ)漏洞仍然是當(dāng)今網(wǎng)絡(luò)攻擊中較為常見(jiàn)的滲透點(diǎn)之一。由于組織需要將系統(tǒng)快速遷移至云來(lái)支持“無(wú)處不在的”工作場(chǎng)所，由未修補(bǔ)漏洞引發(fā)的安全事件將不斷增加，使得本就十分復(fù)雜的補(bǔ)丁管理變得更加困難。最近的一項(xiàng)調(diào)查也證實(shí)了這一點(diǎn)，他們發(fā)現(xiàn)，漏洞修補(bǔ)繼續(xù)面臨資源挑戰(zhàn)和業(yè)務(wù)可靠性問(wèn)題，62%的受訪者表示修補(bǔ)經(jīng)常讓位于其他任務(wù)，60%的受訪者表示修補(bǔ)會(huì)導(dǎo)致用戶工作流程中斷。

如今，我們正生活在一個(gè)無(wú)邊界的世界中，攻擊面和暴露半徑顯著擴(kuò)大。漏洞武器化速度顯著提升進(jìn)一步加劇了這種威脅。組織必須考慮所有可能暴露的領(lǐng)域——從API、容器、云以及從不同位置訪問(wèn)網(wǎng)絡(luò)的所有設(shè)備等。可以想象，想要在未修補(bǔ)的漏洞被利用前部署補(bǔ)丁，僅依靠人力根本無(wú)法完成此類數(shù)據(jù)的收集、發(fā)現(xiàn)和分析過(guò)程。

不過(guò)，我們也取得了一些進(jìn)展——補(bǔ)丁管理已經(jīng)發(fā)展到基于風(fēng)險(xiǎn)進(jìn)行漏洞優(yōu)先級(jí)排序的階段。這是好消息，但隨著漏洞的演變以及IT基礎(chǔ)設(shè)施和設(shè)備持續(xù)在網(wǎng)絡(luò)中擴(kuò)散，僅依靠基于風(fēng)險(xiǎn)的方法還不夠。出于這個(gè)原因，補(bǔ)丁管理的未來(lái)將取決于自動(dòng)化——或者更準(zhǔn)確地說(shuō)是超自動(dòng)化。組織需要實(shí)時(shí)主動(dòng)預(yù)測(cè)，以便能夠以機(jī)器識(shí)別、理解和響應(yīng)模式，跟上威脅行為者的復(fù)雜性。如果存在已知漏洞、漏洞利用和解決方案，安全團(tuán)隊(duì)需要能夠在極少人為干預(yù)的情況下，主動(dòng)、預(yù)測(cè)性地應(yīng)用解決方案。

如今，大家都在討論MLOps(機(jī)器學(xué)習(xí)操作)、AIOps(人工智能操作)以及DataOps(數(shù)據(jù)操作)。隨著我們通過(guò)超自動(dòng)化提高運(yùn)營(yíng)效率，這些實(shí)踐將開(kāi)始變得不那么重要。我們應(yīng)該期望看到漏洞管理和威脅分析的融合，組織可以通過(guò)使用人工智能和機(jī)器學(xué)習(xí)等工具，以機(jī)器的速度審查威脅情報(bào)，而幾乎無(wú)需人工干預(yù)，從而以更自動(dòng)化的方式管理漏洞。在此過(guò)程中，自動(dòng)化將完成大部分工作和分析，而人只是根據(jù)提供的分析結(jié)果采取適當(dāng)行動(dòng)的最終仲裁者。

在接下來(lái)的五年中，我們將看到超自動(dòng)化在補(bǔ)丁管理中的廣泛應(yīng)用。2022年將是關(guān)注自動(dòng)化創(chuàng)新的重要年份，但2023-2025年將是該行業(yè)從“基于風(fēng)險(xiǎn)的”補(bǔ)丁管理過(guò)渡到“超自動(dòng)化”管理的時(shí)期。到2025年，我們應(yīng)該會(huì)看到更多的安全控制被編寫(xiě)成代碼并嵌入到軟件中，例如策略即代碼、安全性即代碼和開(kāi)發(fā)即代碼。我們同樣會(huì)將補(bǔ)丁視為代碼，將漏洞視為代碼，將漏洞枚舉視為代碼。“XX即代碼”或?qū)⒊蔀槲磥?lái)十年的流行術(shù)語(yǔ)。

補(bǔ)丁管理的未來(lái)將專注于自動(dòng)化，尤其是漏洞掃描過(guò)程的自動(dòng)化。我們必須像對(duì)待預(yù)防保健一樣對(duì)待補(bǔ)丁管理。未來(lái)，監(jiān)測(cè)企業(yè)IT環(huán)境的健康狀況只會(huì)變得越來(lái)越復(fù)雜，就像在疫情期間監(jiān)控整個(gè)人類的健康狀況一樣，所以是時(shí)候開(kāi)始思考自動(dòng)化之類的工具了。