補丁管理的過去、現在和未來

熊元嘉

補丁管理的未來將專注于自動化，尤其是漏洞掃描過程的自動化。我們必須像對待預防保健一樣對待補丁管理。

回顧過去，補丁管理起初并不是一個網絡安全問題，而是屬于IT系統管理的范疇。直到2001年Code Red的出現，微軟才開始發布補丁來解決其軟件中的安全漏洞問題。隨后2009年、2011年和2012年大量互聯網蠕蟲，包括2017年的WannaCry頻繁爆發，震驚業界，補丁管理正式作為安全問題受到重視。

過去：管理不斷復雜

1999年，非營利研發組織MITRE發起“通用漏洞和暴露（CVE）項目”。該項目是公開發布軟件或固件中所有已知漏洞的“字典”，供企業組織查詢自身風險。

2011年，美國國家標準技術研究所（NIST）開發國家漏洞數據庫（NVD），它是一個綜合性的網絡安全漏洞數據庫，整合了所有公開的美國政府漏洞資源，提供行業資源參考。它與CVE列表同步并基于CVE列表，該列表使用評分系統來評估風險的嚴重性。如今，NVD已經成為安全組織跟蹤漏洞，并根據風險評分確定優先級的有效工具。

從2011年開始，補丁管理開始演變為整個行業較佳的安全實踐。然而，隨著數據庫中漏洞數量的不斷增長，以及IT基礎設施復雜性的增加，補丁管理開始逐漸走向復雜。它無法總是像更新一個軟件那么簡單，因為有些系統是關鍵任務，不能承受中斷，一些組織在預算或人才方面沒有專門資源，來定期應用測試、部署和安裝補丁。

NVD的創建是漏洞和補丁管理的一大進步。然而，2個新出現的問題導致如今的安全行業在補丁管理方面面臨挑戰。

第一個問題是時間。延遲問題始終存在，一旦攻擊者、研究人員或企業識別出漏洞，就等于開始了一場與時間的賽跑，從漏洞被披露到發布補丁，再到應用補丁以確保漏洞不會被惡意行為者利用。過去需要的時間是15～60天，如今已經減少至2周左右。但并非每個漏洞都有解決方案。業界有一個普遍的誤解，即每個漏洞都可以通過補丁修復，但事實并非如此。數據顯示，只有10 %的已知漏洞可以被補丁管理覆蓋。這意味著其他90 %的已知漏洞無法修補，這給了組織2種選擇———要么更改補償控制，要么修復代碼。

第二個問題是NVD基本上已被惡意行為者武器化了。雖然NVD旨在幫助組織抵御威脅行為者，但相同的工具在短時間內也能用于發起進攻性攻擊。過去5年中，威脅參與者通過使用自動化和機器學習技術提高了他們的攻擊技能。如今，他們可以根據NVD中的漏洞數據快速、輕松地掃描未打補丁的系統。自動化和機器學習的興起，使得威脅參與者能夠快速確定組織正在使用哪些軟件版本，并通過與NVD進行交叉檢查來確定尚未修補的內容。

現在，一場不對稱的戰爭正在上演：組織正試圖通過補丁管理以確保修復每個漏洞，而惡意行為者正尋找尚未修補的漏洞。現實往往是威脅參與者只需一個未修補的漏洞，就能將安全組織的全部努力付之一炬。這就是為什么補丁管理現在是組織在安全方面的一個強制性要求，而不僅僅是IT部門責任的原因。

如今，補丁管理是證明組織符合安全法規的強制性要求，同時也是網絡保險的硬性要求。隨著勒索軟件的興起，關乎生死攸關關鍵任務的醫院系統同樣面臨威脅，其補丁管理受到嚴格審查，也就成了理所當然的事情。然而，IT和安全團隊自顧不暇，根本無法跟上任務的步伐，補丁管理逐漸成為人力所不能及的事情，業界亟需一種新的解決方法。

現在：基于風險優先級策略

在補丁管理方面存在3個主要參與者：安全分析師、IT專業人員和攻擊者。不幸的是，安全團隊和IT團隊之間通常存在很多摩擦，導致他們無法成功防御攻擊者。這也導致了一種不對稱的威脅：攻擊者只需要知道一個弱點或漏洞就能獲得成功，而防御者必須知道每個弱點或漏洞來保護自己。

安全分析師需要不斷地對網絡安全威脅和攻擊進行分類和響應。他們經常使用各種安全工具和瀏覽威脅資源以評估和了解風險，并始終了解可能對組織產生負面影響的威脅情報、政府警報和安全事件。

IT團隊的任務是系統可用性和響應能力，這使得他們對是否實施補丁猶豫不決，除非明確風險優先級。他們必須平衡組織保持持續正常運行與實施計劃外安全補丁的需求，如果未經測試或審查就安裝補丁，可能會對系統性能和可靠性產生負面影響。這些專業人員還經常在孤島中工作，管理其職責范圍內的IT維護和風險。

威脅參與者，他們會利用這些安全漏洞來發動大規模復雜攻擊。他們越來越多地利用“網絡犯罪即服務”來實現最大影響力。例如，Conti是當今較大的勒索軟件團伙之一，以勒索軟件即服務模式運行。美國網絡安全和基礎設施安全局（CISA）以及聯邦調查局（FBI）近期觀察到，在針對美國和國際組織的400多次攻擊中，Conti勒索軟件的使用頻率正不斷增加。

為了打贏勒索軟件戰爭并有效防御網絡犯罪，安全和IT團隊必須通力合作。他們必須為了共同的目標團結起來對抗攻擊者，必須合作采摘所有唾手可得的果實并減少修補時間。使攻擊者很難轉移到其他目標，這就是基于風險的漏洞管理概念發揮作用的地方。IT和安全團隊不可能也沒有精力修補所有漏洞，他們不應該試圖修補每一件小事，相反地，他們應該根據影響和風險優先級進行修補。

如今，存在200 000個獨特的漏洞，其中22 000個有補丁。然而，在通過漏洞利用或惡意軟件武器化的25 000個漏洞中，只有2 000個有補丁。這意味著IT和安全團隊可以暫時忽略其他20 000個補丁，而優先實施這2 000補丁。為此，企業組織必須確定構成最高風險的武器化漏洞。假設6 000個武器化漏洞能夠遠程執行代碼，并且有589個補丁可用。但在這6 000個武器化漏洞中，只有130個處于活躍狀態中，也就是說攻擊者將在野攻擊這些漏洞。對于這130個活躍漏洞，有68個補丁可用。IT和安全團隊必須優先實施這68個補丁。

主流安全企業、從業者和分析公司建議，采用基于風險的方法來識別漏洞并確定優先級，然后加速修復。同時，美國白宮日前也發布了一份備忘錄，鼓勵組織使用基于風險的評估策略來推動補丁管理，并加強網絡安全以抵御勒索軟件攻擊。總之，組織必須專注于修補最高級別風險漏洞。為此，組織需要深入了解每個補丁以及可利用、武器化并與勒索軟件有關的漏洞。通過結合使用基于風險的漏洞優先級和自動化補丁，組織可以確保根據威脅風險對補丁進行優先級排序。

未來：向超自動化演進

在安全方面，每個組織都應該遵循2個原則：生成安全代碼和營造良好的網絡環境。當開發人員生成代碼時，必須能夠立即發現安全漏洞以避免影響到下游。至于營造良好的網絡環境，補丁管理仍將是組織可以采取的較為重要的主動措施。左移和右移原則在應用程序安全中得到了很好的理解和討論，也應該將它們擴展到設備管理方面。

原因如下：未修補漏洞仍然是當今網絡攻擊中較為常見的滲透點之一。由于組織需要將系統快速遷移至云來支持“無處不在的”工作場所，由未修補漏洞引發的安全事件將不斷增加，使得本就十分復雜的補丁管理變得更加困難。最近的一項調查也證實了這一點，他們發現，漏洞修補繼續面臨資源挑戰和業務可靠性問題，62 %的受訪者表示修補經常讓位于其他任務，60 %的受訪者表示修補會導致用戶工作流程中斷。

如今，我們正生活在一個無邊界的世界中，攻擊面和暴露半徑顯著擴大。漏洞武器化速度顯著提升進一步加劇了這種威脅。組織必須考慮所有可能暴露的領域———從API、容器、云以及從不同位置訪問網絡的所有設備等。可以想象，想要在未修補的漏洞被利用前部署補丁，僅依靠人力根本無法完成此類數據的收集、發現和分析過程。

不過，我們也取得了一些進展———補丁管理已經發展到基于風險進行漏洞優先級排序的階段。這是好消息，但隨著漏洞的演變以及IT基礎設施和設備持續在網絡中擴散，僅依靠基于風險的方法還不夠。出于這個原因，補丁管理的未來將取決于自動化———或者更準確地說是超自動化。組織需要實時主動預測，以便能夠以機器識別、理解和響應模式，跟上威脅行為者的復雜性。如果存在已知漏洞、漏洞利用和解決方案，安全團隊需要能夠在極少人為干預的情況下，主動、預測性地應用解決方案。

如今，大家都在討論機器學習操作（MLOps）、人工智能操作（AIOps）以及數據操作（DataOps）。隨著我們通過超自動化提高運營效率，這些實踐將開始變得不那么重要。我們應該期望看到漏洞管理和威脅分析的融合，組織可以通過使用人工智能和機器學習等工具，以機器的速度審查威脅情報，而幾乎無需人工干預，從而以更自動化的方式管理漏洞。在此過程中，自動化將完成大部分工作和分析，而人只是根據提供的分析結果采取適當行動的最終仲裁者。

在接下來的5年中，我們將看到超自動化在補丁管理中的廣泛應用。2022年將是關注自動化創新的重要年份，但2023-2025年將是該行業從“基于風險的”補丁管理過渡到“超自動化”管理的時期。到2025年，應該會看到更多的安全控制被編寫成代碼并嵌入到軟件中，例如策略即代碼、安全性即代碼和開發即代碼。我們同樣會將補丁視為代碼，將漏洞視為代碼，將漏洞枚舉視為代碼。“XX即代碼”或將成為未來十年的流行術語。

補丁管理的未來將專注于自動化，尤其是漏洞掃描過程的自動化。我們必須像對待預防保健一樣對待補丁管理。未來，監測企業IT環境的健康狀況只會變得越來越復雜，就像在疫情期間監控整個人類的健康狀況一樣，所以是時候開始思考自動化之類的工具了。