在采訪中，Nucleus Security的首席執(zhí)行官Steve Carter討論了漏洞管理方面持續(xù)存在的挑戰(zhàn)，包括漏洞優(yōu)先級(jí)排序和解決補(bǔ)丁延遲問題。

Carter還談到了合規(guī)要求以及自動(dòng)化如何簡化漏洞管理流程。

盡管技術(shù)不斷進(jìn)步，你認(rèn)為為什么像漏洞優(yōu)先級(jí)排序和補(bǔ)丁延遲這樣的挑戰(zhàn)仍然存在?

企業(yè)基礎(chǔ)設(shè)施日益復(fù)雜、攻擊面不斷擴(kuò)大以及漏洞和暴露檢測能力的提高，都導(dǎo)致必須進(jìn)行分類的發(fā)現(xiàn)數(shù)量急劇增加。例如，我們已接近發(fā)布25萬個(gè)CVE，年增長率為16%。大多數(shù)企業(yè)既沒有充足的人員配備，也沒有適當(dāng)?shù)募夹g(shù)來應(yīng)對(duì)源源不斷的漏洞。在很多方面，這是一場數(shù)字游戲，安全團(tuán)隊(duì)根本跟不上。

基于風(fēng)險(xiǎn)的漏洞管理越來越受到重視。你對(duì)于有效確定漏洞優(yōu)先級(jí)有哪些建議策略?

關(guān)鍵在于建立一個(gè)涵蓋所有類型漏洞、暴露和安全發(fā)現(xiàn)的全企業(yè)優(yōu)先級(jí)排序流程。漏洞掃描器和態(tài)勢管理工具在嚴(yán)重等級(jí)評(píng)定和風(fēng)險(xiǎn)評(píng)分方面并不一致，因此不能用于一致的優(yōu)先級(jí)排序方法。必須明確對(duì)于每個(gè)企業(yè)來說，漏洞或安全發(fā)現(xiàn)必須滿足哪些條件才能被歸類為嚴(yán)重或高風(fēng)險(xiǎn)。

漏洞情報(bào)可以為安全團(tuán)隊(duì)提供確定哪些漏洞需要他們關(guān)注的必要細(xì)節(jié)。例如，了解漏洞是否正在被積極利用、哪些威脅行為者正在使用它，以及是否有可用的補(bǔ)丁，可以幫助漏洞管理分析師確定威脅級(jí)別。將這一情報(bào)與企業(yè)既定的風(fēng)險(xiǎn)閾值進(jìn)行權(quán)衡，就為決策提供了堅(jiān)實(shí)的基礎(chǔ)。

合規(guī)要求對(duì)漏洞管理策略有何影響，企業(yè)常常忽視哪些合規(guī)挑戰(zhàn)?

在醫(yī)療保健、金融服務(wù)和政府等高度監(jiān)管的行業(yè)，合規(guī)通常通過規(guī)定漏洞緩解時(shí)間表和施加專門的報(bào)告要求來影響漏洞管理策略。漏洞檢測和暴露管理能力已經(jīng)擴(kuò)展，現(xiàn)在包括身份、數(shù)據(jù)管理和SaaS系統(tǒng)的評(píng)估，這顯著增加了必須跟蹤和報(bào)告的發(fā)現(xiàn)數(shù)量和類型，而安全和合規(guī)團(tuán)隊(duì)往往忽視了這一點(diǎn)。

監(jiān)管的一個(gè)不幸但常見的后果是，它往往成為安全工作的唯一焦點(diǎn)。企業(yè)在追求合規(guī)的過程中，可能會(huì)選擇成本最低的路線，這對(duì)整體安全計(jì)劃可能是有害的。至關(guān)重要的是，不要忽視最終目標(biāo)：最大限度地降低風(fēng)險(xiǎn)并保護(hù)企業(yè)最關(guān)鍵的資產(chǎn)。

自動(dòng)化通常被視為解決漏洞管理挑戰(zhàn)的方案。你認(rèn)為自動(dòng)化在哪些方面影響最大，又有哪些局限性?

提高自動(dòng)化程度是擴(kuò)展漏洞和暴露管理程序的唯一途徑。自動(dòng)化可以產(chǎn)生的最大影響之一在于漏洞和安全發(fā)現(xiàn)的統(tǒng)一、豐富和企業(yè)。這些是優(yōu)先級(jí)排序過程中最耗時(shí)的步驟，而且手動(dòng)執(zhí)行時(shí)極易出錯(cuò)。這些步驟的自動(dòng)化使得漏洞分類和優(yōu)先級(jí)排序能夠采用一致的方法。

自動(dòng)化在推動(dòng)包括開票和事件響應(yīng)在內(nèi)的補(bǔ)救工作流程方面也極具影響力。歷史上，補(bǔ)救和緩解活動(dòng)的任務(wù)分配是手動(dòng)執(zhí)行的，因?yàn)槊總€(gè)企業(yè)都有自定義的工作流程來確定誰應(yīng)該修復(fù)漏洞、何時(shí)應(yīng)該完成修復(fù)、需要什么信息等?，F(xiàn)在已有技術(shù)可以自動(dòng)化這些流程并跟蹤補(bǔ)救直至完成，從而加速了這一過程并消除了人為錯(cuò)誤。

在漏洞管理的背景下，自動(dòng)化的最大局限性在于響應(yīng)漏洞檢測而進(jìn)行的補(bǔ)丁和配置更改的完全自動(dòng)化。特別是在運(yùn)營環(huán)境中，更新某些關(guān)鍵應(yīng)用程序和服務(wù)必須嚴(yán)格管理，以避免中斷。

你認(rèn)為近期有哪些新興的漏洞管理趨勢是企業(yè)需要為不久的將來做準(zhǔn)備的?

公開披露的漏洞數(shù)量不斷增加，而且沒有停止的跡象。我們預(yù)計(jì)，AI發(fā)現(xiàn)開源軟件和商業(yè)產(chǎn)品中漏洞的能力只會(huì)加劇這一問題。此外，我們預(yù)計(jì)由于攻擊者使用AI，漏洞利用時(shí)間(披露后)將縮短。企業(yè)必須制定一項(xiàng)戰(zhàn)略和計(jì)劃，使其能夠在全企業(yè)范圍內(nèi)加快漏洞分類和響應(yīng)時(shí)間，以適應(yīng)這種不斷發(fā)展的威脅環(huán)境。