回顾过去,补丁管理起初并不是一个网络安全问题,而是属于IT系统管理的范畴。直到2001年Code Red的出现,微软才开始发布补丁来解决其软件中的安全漏洞问题。随后2009年、2011年和2012年大量互联网蠕虫(包括2017年的WannaCry)频繁爆发,震惊业界,补丁管理正式作为安全问题受到重视。
过去:管理不断复杂
1999年,非营利研发组织MITRE发起“通用漏洞和暴露”(CVE)项目。该项目是公开发布软件或固件中所有已知漏洞的“字典”,供企业组织查询自身风险。
2011年,美国国家标准技术研究所(NIST)开发国家漏洞数据库(NVD),它是一个综合性的网络安全漏洞数据库,整合了所有公开的美国政府漏洞资源,提供行业资源参考。它与CVE列表同步并基于CVE列表,该列表使用评分系统来评估风险的严重性。如今,NVD已经成为安全组织跟踪漏洞,并根据风险评分确定优先级的有效工具。
从2011年开始,补丁管理开始演变为整个行业较佳的安全实践。然而,随着数据库中漏洞数量的不断增长,以及IT基础设施复杂性的增加,补丁管理开始逐渐走向复杂。它无法总是像更新一个软件那么简单,因为有些系统是关键任务,不能承受中断;一些组织在预算或人才方面没有专门资源,来定期应用测试、部署和安装补丁。
NVD的创建是漏洞和补丁管理的一大进步。然而,两个新出现的问题导致如今的安全行业在补丁管理方面面临挑战。
第一个问题是时间。延迟问题始终存在,一旦攻击者、研究人员或企业识别出漏洞,就等于开始了一场与时间的赛跑,从漏洞被披露到发布补丁,再到应用补丁以确保漏洞不会被恶意行为者利用。过去需要的时间是15到60天,如今已经减少至2周左右。但并非每个漏洞都有解决方案。业界有一个普遍的误解,即每个漏洞都可以通过补丁修复,但事实并非如此。数据显示,只有10%的已知漏洞可以被补丁管理覆盖。这意味着其他90%的已知漏洞无法修补,这给了组织两种选择——要么更改补偿控制,要么修复代码。
第二个问题是NVD基本上已被恶意行为者武器化了。虽然NVD旨在帮助组织抵御威胁行为者,但相同的工具在短时间内也能用于发起进攻性攻击。过去五年中,威胁参与者通过使用自动化和机器学习技术提高了他们的攻击技能。如今,他们可以根据NVD中的漏洞数据快速、轻松地扫描未打补丁的系统。自动化和机器学习的兴起,使得威胁参与者能够快速确定组织正在使用哪些软件版本,并通过与NVD进行交叉检查来确定尚未修补的内容。
现在,一场“不对称”的战争正在上演:组织正试图通过补丁管理以确保修复每个漏洞,而恶意行为者正寻找尚未修补的漏洞。现实往往是威胁参与者只需一个未修补的漏洞,就能将安全组织的全部努力付之一炬。这就是为什么补丁管理现在是组织在安全方面的一个强制性要求,而不仅仅是IT部门责任的原因。
如今,补丁管理是证明组织符合安全法规的强制性要求,同时也是网络保险的硬性要求。随着勒索软件的兴起,关乎生死攸关关键任务的医院系统同样面临威胁,其补丁管理受到严格审查,也就成了理所当然的事情。然而,IT和安全团队自顾不暇,根本无法跟上任务的步伐,补丁管理逐渐成为人力所不能及的事情,业界亟需一种新的解决方法。
现在:基于风险优先级策略
在补丁管理方面存在三个主要参与者:安全分析师、IT专业人员和攻击者。不幸的是,安全团队和IT团队之间通常存在很多摩擦,导致他们无法成功防御攻击者。这也导致了一种“不对称”的威胁:攻击者只需要知道一个弱点或漏洞就能获得成功,而防御者必须知道每个弱点或漏洞来保护自己。
安全分析师需要不断地对网络安全威胁和攻击进行分类和响应。他们经常使用各种安全工具和浏览威胁资源以评估和了解风险,并始终了解可能对组织产生负面影响的威胁情报、政府警报和安全事件。
IT团队的任务是系统可用性和响应能力,这使得他们对是否实施补丁犹豫不决,除非明确风险优先级。他们必须平衡组织保持持续正常运行与实施计划外安全补丁的需求,如果未经测试或审查就安装补丁,可能会对系统性能和可靠性产生负面影响。这些专业人员还经常在孤岛中工作,管理其职责范围内的IT维护和风险。
威胁参与者,他们会利用这些安全漏洞来发动大规模复杂攻击。他们越来越多地利用“网络犯罪即服务”来实现最大影响力。例如,Conti是当今较大的勒索软件团伙之一,以勒索软件即服务模式运行。美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)近期观察到,在针对美国和国际组织的400多次攻击中,Conti勒索软件的使用频率正不断增加。
为了打赢勒索软件战争并有效防御网络犯罪,安全和IT团队必须通力合作。他们必须为了共同的目标团结起来对抗攻击者;必须合作采摘所有唾手可得的果实并减少修补时间,使攻击者很难转移到其他目标。这就是基于风险的漏洞管理概念发挥作用的地方。IT和安全团队不可能也没有精力修补所有漏洞,他们不应该试图修补每一件小事。相反地,他们应该根据影响和风险优先级进行修补。
如今,存在200,000个独特的漏洞,其中22,000个有补丁。然而,在通过漏洞利用或恶意软件武器化的25,000 个漏洞中,只有2,000个有补丁。这意味着IT和安全团队可以暂时忽略其他20,000个补丁,而优先实施这2,000补丁。为此,企业组织必须确定构成最高风险的武器化漏洞。假设6,000个武器化漏洞能够远程执行代码,并且有589个补丁可用。但在这6,000个武器化漏洞中,只有130个处于活跃状态中,也就是说攻击者将在野攻击这些漏洞。对于这130个活跃漏洞,有68个补丁可用。IT和安全团队必须优先实施这68个补丁。
主流安全企业、从业者和分析公司建议,采用基于风险的方法来识别漏洞并确定优先级,然后加速修复。同时,美国白宫日前也发布了一份备忘录,鼓励组织使用基于风险的评估策略来推动补丁管理,并加强网络安全以抵御勒索软件攻击。总之,组织必须专注于修补最高级别风险漏洞。为此,组织需要深入了解每个补丁以及可利用、武器化并与勒索软件有关的漏洞。通过结合使用基于风险的漏洞优先级和自动化补丁,组织可以确保根据威胁风险对补丁进行优先级排序。
未来:向超自动化演进
在安全方面,每个组织都应该遵循两个原则:生成安全代码和营造良好的网络环境。当开发人员生成代码时,必须能够立即发现安全漏洞以避免影响到下游。至于营造良好的网络环境,补丁管理仍将是组织可以采取的较为重要的主动措施。左移和右移原则在应用程序安全中得到了很好的理解和讨论,我们也应该将它们扩展到设备管理方面。
原因如下:未修补漏洞仍然是当今网络攻击中较为常见的渗透点之一。由于组织需要将系统快速迁移至云来支持“无处不在的”工作场所,由未修补漏洞引发的安全事件将不断增加,使得本就十分复杂的补丁管理变得更加困难。最近的一项调查也证实了这一点,他们发现,漏洞修补继续面临资源挑战和业务可靠性问题,62%的受访者表示修补经常让位于其他任务,60%的受访者表示修补会导致用户工作流程中断。
如今,我们正生活在一个无边界的世界中,攻击面和暴露半径显著扩大。漏洞武器化速度显著提升进一步加剧了这种威胁。组织必须考虑所有可能暴露的领域——从API、容器、云以及从不同位置访问网络的所有设备等。可以想象,想要在未修补的漏洞被利用前部署补丁,仅依靠人力根本无法完成此类数据的收集、发现和分析过程。
不过,我们也取得了一些进展——补丁管理已经发展到基于风险进行漏洞优先级排序的阶段。这是好消息,但随着漏洞的演变以及IT基础设施和设备持续在网络中扩散,仅依靠基于风险的方法还不够。出于这个原因,补丁管理的未来将取决于自动化——或者更准确地说是超自动化。组织需要实时主动预测,以便能够以机器识别、理解和响应模式,跟上威胁行为者的复杂性。如果存在已知漏洞、漏洞利用和解决方案,安全团队需要能够在极少人为干预的情况下,主动、预测性地应用解决方案。
如今,大家都在讨论MLOps(机器学习操作)、AIOps(人工智能操作)以及DataOps(数据操作)。随着我们通过超自动化提高运营效率,这些实践将开始变得不那么重要。我们应该期望看到漏洞管理和威胁分析的融合,组织可以通过使用人工智能和机器学习等工具,以机器的速度审查威胁情报,而几乎无需人工干预,从而以更自动化的方式管理漏洞。在此过程中,自动化将完成大部分工作和分析,而人只是根据提供的分析结果采取适当行动的最终仲裁者。
在接下来的五年中,我们将看到超自动化在补丁管理中的广泛应用。2022年将是关注自动化创新的重要年份,但2023-2025年将是该行业从“基于风险的”补丁管理过渡到“超自动化”管理的时期。到2025年,我们应该会看到更多的安全控制被编写成代码并嵌入到软件中,例如策略即代码、安全性即代码和开发即代码。我们同样会将补丁视为代码,将漏洞视为代码,将漏洞枚举视为代码。“XX即代码”或将成为未来十年的流行术语。
补丁管理的未来将专注于自动化,尤其是漏洞扫描过程的自动化。我们必须像对待预防保健一样对待补丁管理。未来,监测企业IT环境的健康状况只会变得越来越复杂,就像在疫情期间监控整个人类的健康状况一样,所以是时候开始思考自动化之类的工具了。