一種主動(dòng)的網(wǎng)絡(luò)安全方法包括確保所有軟件在資產(chǎn)中都是最新的。這還包括應(yīng)用補(bǔ)丁來(lái)關(guān)閉漏洞。這種做法最大限度地降低了風(fēng)險(xiǎn)，因?yàn)樗诉^(guò)程中的過(guò)時(shí)軟件版本。這是否使修補(bǔ)成為包羅萬(wàn)象的網(wǎng)絡(luò)安全解決方案？

雖然補(bǔ)丁是網(wǎng)絡(luò)安全的重要組成部分，但其他安全解決方案和策略必須對(duì)其進(jìn)行補(bǔ)充。其中包括防火墻、防病毒軟件和員工安全風(fēng)險(xiǎn)意識(shí)培訓(xùn)。有趣的是，最新的 X-Force 威脅情報(bào)指數(shù)報(bào)告稱，2022 年的漏洞中有 26% 已被利用。從 1990 年代初期到現(xiàn)在跟蹤的數(shù)據(jù)顯示，近年來(lái)已知漏洞利用的比例有所下降，突顯了維護(hù)良好的補(bǔ)丁管理流程的有效性。

漏洞管理和補(bǔ)丁管理的區(qū)別

成功的補(bǔ)丁管理始于識(shí)別漏洞。這看起來(lái)像是潛在妥協(xié)的浪潮，因?yàn)樗鼈儙缀醮嬖谟诿恳粋€(gè)軟件中。2022 年，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院 (NIST) 報(bào)告了超過(guò)23,000 個(gè) 新漏洞；在這個(gè)數(shù)字中，將超過(guò) 17,000 個(gè)歸類為關(guān)鍵。

安全團(tuán)隊(duì)不能總是在發(fā)現(xiàn)漏洞后立即解決。因此，許多組織都積壓了大量未修復(fù)的漏洞。緩慢的響應(yīng)意味著漏洞將持續(xù)存在并使組織容易受到攻擊。解決漏洞管理很重要，也是可能的。但是，僅僅識(shí)別漏洞是不夠的，組織還必須采取措施防范它們。

補(bǔ)丁管理是漏洞管理的一個(gè)組成部分，它為組織提供了一種自動(dòng)化的方法來(lái)應(yīng)用供應(yīng)商發(fā)布的軟件補(bǔ)丁來(lái)解決安全漏洞。自動(dòng)化補(bǔ)丁管理工具可以顯示可用補(bǔ)丁，但不一定映射已知漏洞的嚴(yán)重性。補(bǔ)丁管理還需要定義策略和程序來(lái)識(shí)別關(guān)鍵漏洞，以及應(yīng)用安全補(bǔ)丁的定期計(jì)劃。

軟件行業(yè)安全補(bǔ)丁改進(jìn)

近年來(lái)，在發(fā)布安全漏洞補(bǔ)丁方面，軟件行業(yè)取得了重大進(jìn)展。較大的公司必須更加主動(dòng)地識(shí)別和解決其產(chǎn)品中的漏洞。這些公司擁有各種資源，包括正式的漏洞賞金計(jì)劃，可用于幫助加快安全補(bǔ)丁的開(kāi)發(fā)。流程效率和創(chuàng)新幫助他們更快地做出響應(yīng)。負(fù)責(zé)將這些安全補(bǔ)丁應(yīng)用到他們的系統(tǒng)的客戶并不總是能快速響應(yīng)。

修復(fù)嚴(yán)重漏洞平均需要60 天，比攻擊者開(kāi)始利用新發(fā)現(xiàn)的漏洞所需的時(shí)間（通常為 15 天）要長(zhǎng)得多。攻擊者傾向于利用發(fā)現(xiàn)和補(bǔ)救之間的差距。由于并非所有漏洞都很嚴(yán)重，因此根據(jù)潛在影響確定其優(yōu)先級(jí)很重要。安全團(tuán)隊(duì)可以專注于首先修補(bǔ)最嚴(yán)重的漏洞，從而降低整體風(fēng)險(xiǎn)。

漏洞發(fā)現(xiàn)、排序和修復(fù)的循環(huán)是永無(wú)止境的。一些自動(dòng)化補(bǔ)丁管理工具包括補(bǔ)丁分析，可以縮短確保根據(jù)漏洞嚴(yán)重程度及時(shí)應(yīng)用補(bǔ)丁所需的總體時(shí)間。

解決軟件和設(shè)備報(bào)廢問(wèn)題

了解所有資產(chǎn)的狀態(tài)是風(fēng)險(xiǎn)管理的一個(gè)重要方面。漏洞可能隱藏在舊資產(chǎn)中，增加了環(huán)境的安全風(fēng)險(xiǎn)。有時(shí)可能無(wú)法再對(duì)軟件和設(shè)備進(jìn)行修補(bǔ)。它們可能已經(jīng)達(dá)到生命周期的盡頭，不再受到供應(yīng)商的支持，或者根本無(wú)法適應(yīng)現(xiàn)代網(wǎng)絡(luò)和安全協(xié)議。攻擊者經(jīng)常利用舊的、過(guò)時(shí)的軟件中的漏洞。

正如 2023 X-Force 威脅情報(bào)指數(shù)中所報(bào)告的那樣，三到五年前的勒索軟件感染仍然存在于一些未打補(bǔ)丁的舊設(shè)備中。這些機(jī)器在初次感染后很長(zhǎng)一段時(shí)間內(nèi)仍未得到解決。

根據(jù)軟件供應(yīng)商的不同，有一些選項(xiàng)可用于保護(hù)已達(dá)到生命周期終點(diǎn)的軟件。一些供應(yīng)商可能會(huì)提供延長(zhǎng)保修或類似的東西，在軟件達(dá)到使用壽命后，軟件更新和安全補(bǔ)丁可以在特定時(shí)間段內(nèi)繼續(xù)使用。當(dāng)然，這不是長(zhǎng)久之計(jì)。但它可以給公司多一點(diǎn)時(shí)間來(lái)探索其他可用的選擇。

無(wú)法再更新的未打補(bǔ)丁的資產(chǎn)會(huì)給組織帶來(lái)額外的風(fēng)險(xiǎn)。評(píng)估與其持續(xù)使用相關(guān)的長(zhǎng)期風(fēng)險(xiǎn)非常重要。NIST 建議定期審查這些資產(chǎn)，以確保系統(tǒng)其余部分的完整性。如果更換還不是一種選擇，將這些未打補(bǔ)丁的資產(chǎn)與網(wǎng)絡(luò)的其余部分進(jìn)行分段或微分段可以提供一些保護(hù)，防止?jié)撛诘奈：Α?/p>

當(dāng)緩解方法不能充分解決未修補(bǔ)資產(chǎn)的風(fēng)險(xiǎn)時(shí)，更換可能是唯一可用的其他選擇。定期檢查持續(xù)緩解與完全替換受影響資產(chǎn)的成本效益分析非常重要。

漏洞和補(bǔ)丁管理的未來(lái)

補(bǔ)丁已成為網(wǎng)絡(luò)安全必不可少的。作為綜合漏洞和補(bǔ)丁管理流程的一部分，成功的補(bǔ)丁管理會(huì)減少可利用的漏洞。隨著 CISA 發(fā)布利益相關(guān)者特定漏洞分類 (SSVC)系統(tǒng)，漏洞管理有望變得更易于管理，該系統(tǒng)輸出機(jī)器可讀的報(bào)告，詳細(xì)說(shuō)明漏洞和嚴(yán)重性，有助于縮短補(bǔ)救時(shí)間。這種新的標(biāo)準(zhǔn)化方法可幫助組織關(guān)注最嚴(yán)重的漏洞。該系統(tǒng)在設(shè)計(jì)時(shí)考慮了自動(dòng)化工具。最近以網(wǎng)絡(luò)安全為重點(diǎn)的立法也將改變組織處理漏洞和補(bǔ)丁管理的方式。

美國(guó)發(fā)布的第 14028 號(hào)行政命令“改善國(guó)家網(wǎng)絡(luò)安全”包括對(duì)軟件材料清單 (SBOM) 的要求，其中必須披露有關(guān)產(chǎn)品各部分來(lái)源的特定信息。旨在提供有關(guān)依賴性和已知漏洞的更大透明度以保護(hù)軟件供應(yīng)鏈，此要求在政府軟件合同之外可能會(huì)有所幫助。一個(gè)完整的 SBOM 可以幫助組織確定軟件組件所需的長(zhǎng)期維護(hù)，該軟件組件需要隨著時(shí)間的推移進(jìn)行大量補(bǔ)救，或者考慮到存在的漏洞類型，特別容易受到攻擊。

軟件漏洞不會(huì)很快消失，保護(hù)它們的補(bǔ)丁也不會(huì)消失。補(bǔ)丁管理仍將是網(wǎng)絡(luò)安全的重要組成部分。漏洞管理的未來(lái)改進(jìn)和 SBOM 中更透明的披露——結(jié)合軟件行業(yè)通過(guò)正式的漏洞賞金計(jì)劃和其他創(chuàng)新的改進(jìn)——有可能顯著減少修復(fù)易受攻擊軟件所需的時(shí)間。

原作者：米歇爾格林利