虽然补丁是网络安全的重要组成部分,但其他安全解决方案和策略必须对其进行补充。其中包括防火墙、防病毒软件和员工安全风险意识培训。有趣的是,最新的 X-Force 威胁情报指数报告称,2022 年的漏洞中有 26% 已被利用。从 1990 年代初期到现在跟踪的数据显示,近年来已知漏洞利用的比例有所下降,突显了维护良好的补丁管理流程的有效性。
漏洞管理和补丁管理的区别
成功的补丁管理始于识别漏洞。这看起来像是潜在妥协的浪潮,因为它们几乎存在于每一个软件中。2022 年,美国国家标准技术研究院 (NIST) 报告了超过23,000 个 新漏洞;在这个数字中,将超过 17,000 个归类为关键。
安全团队不能总是在发现漏洞后立即解决。因此,许多组织都积压了大量未修复的漏洞。缓慢的响应意味着漏洞将持续存在并使组织容易受到攻击。解决漏洞管理很重要,也是可能的。但是,仅仅识别漏洞是不够的,组织还必须采取措施防范它们。
补丁管理是漏洞管理的一个组成部分,它为组织提供了一种自动化的方法来应用供应商发布的软件补丁来解决安全漏洞。自动化补丁管理工具可以显示可用补丁,但不一定映射已知漏洞的严重性。补丁管理还需要定义策略和程序来识别关键漏洞,以及应用安全补丁的定期计划。
软件行业安全补丁改进
近年来,在发布安全漏洞补丁方面,软件行业取得了重大进展。较大的公司必须更加主动地识别和解决其产品中的漏洞。这些公司拥有各种资源,包括正式的漏洞赏金计划,可用于帮助加快安全补丁的开发。流程效率和创新帮助他们更快地做出响应。负责将这些安全补丁应用到他们的系统的客户并不总是能快速响应。
修复严重漏洞平均需要60 天,比攻击者开始利用新发现的漏洞所需的时间(通常为 15 天)要长得多。攻击者倾向于利用发现和补救之间的差距。由于并非所有漏洞都很严重,因此根据潜在影响确定其优先级很重要。安全团队可以专注于首先修补最严重的漏洞,从而降低整体风险。
漏洞发现、排序和修复的循环是永无止境的。一些自动化补丁管理工具包括补丁分析,可以缩短确保根据漏洞严重程度及时应用补丁所需的总体时间。
解决软件和设备报废问题
了解所有资产的状态是风险管理的一个重要方面。漏洞可能隐藏在旧资产中,增加了环境的安全风险。有时可能无法再对软件和设备进行修补。它们可能已经达到生命周期的尽头,不再受到供应商的支持,或者根本无法适应现代网络和安全协议。攻击者经常利用旧的、过时的软件中的漏洞。
正如 2023 X-Force 威胁情报指数中所报告的那样,三到五年前的勒索软件感染仍然存在于一些未打补丁的旧设备中。这些机器在初次感染后很长一段时间内仍未得到解决。
根据软件供应商的不同,有一些选项可用于保护已达到生命周期终点的软件。一些供应商可能会提供延长保修或类似的东西,在软件达到使用寿命后,软件更新和安全补丁可以在特定时间段内继续使用。当然,这不是长久之计。但它可以给公司多一点时间来探索其他可用的选择。
无法再更新的未打补丁的资产会给组织带来额外的风险。评估与其持续使用相关的长期风险非常重要。NIST 建议定期审查这些资产,以确保系统其余部分的完整性。如果更换还不是一种选择,将这些未打补丁的资产与网络的其余部分进行分段或微分段可以提供一些保护,防止潜在的危害。
当缓解方法不能充分解决未修补资产的风险时,更换可能是唯一可用的其他选择。定期检查持续缓解与完全替换受影响资产的成本效益分析非常重要。
漏洞和补丁管理的未来
补丁已成为网络安全必不可少的。作为综合漏洞和补丁管理流程的一部分,成功的补丁管理会减少可利用的漏洞。随着 CISA 发布利益相关者特定漏洞分类 (SSVC)系统,漏洞管理有望变得更易于管理,该系统输出机器可读的报告,详细说明漏洞和严重性,有助于缩短补救时间。这种新的标准化方法可帮助组织关注最严重的漏洞。该系统在设计时考虑了自动化工具。最近以网络安全为重点的立法也将改变组织处理漏洞和补丁管理的方式。
美国发布的第 14028 号行政命令“改善国家网络安全”包括对软件材料清单 (SBOM) 的要求,其中必须披露有关产品各部分来源的特定信息。旨在提供有关依赖性和已知漏洞的更大透明度以保护软件供应链,此要求在政府软件合同之外可能会有所帮助。一个完整的 SBOM 可以帮助组织确定软件组件所需的长期维护,该软件组件需要随着时间的推移进行大量补救,或者考虑到存在的漏洞类型,特别容易受到攻击。
软件漏洞不会很快消失,保护它们的补丁也不会消失。补丁管理仍将是网络安全的重要组成部分。漏洞管理的未来改进和 SBOM 中更透明的披露——结合软件行业通过正式的漏洞赏金计划和其他创新的改进——有可能显着减少修复易受攻击软件所需的时间。
原作者:米歇尔格林利