一種主動的網絡安全方法包括確保所有軟件在資產中都是最新的。這還包括應用補丁來關閉漏洞。這種做法最大限度地降低了風險，因為它消除了過程中的過時軟件版本。這是否使修補成為包羅萬象的網絡安全解決方案？

雖然補丁是網絡安全的重要組成部分，但其他安全解決方案和策略必須對其進行補充。其中包括防火墻、防病毒軟件和員工安全風險意識培訓。有趣的是，最新的 X-Force 威脅情報指數(shù)報告稱，2022 年的漏洞中有 26% 已被利用。從 1990 年代初期到現(xiàn)在跟蹤的數(shù)據(jù)顯示，近年來已知漏洞利用的比例有所下降，突顯了維護良好的補丁管理流程的有效性。

漏洞管理和補丁管理的區(qū)別

成功的補丁管理始于識別漏洞。這看起來像是潛在妥協(xié)的浪潮，因為它們幾乎存在于每一個軟件中。2022 年，美國國家標準技術研究院 (NIST) 報告了超過23,000 個 新漏洞；在這個數(shù)字中，將超過 17,000 個歸類為關鍵。

安全團隊不能總是在發(fā)現(xiàn)漏洞后立即解決。因此，許多組織都積壓了大量未修復的漏洞。緩慢的響應意味著漏洞將持續(xù)存在并使組織容易受到攻擊。解決漏洞管理很重要，也是可能的。但是，僅僅識別漏洞是不夠的，組織還必須采取措施防范它們。

補丁管理是漏洞管理的一個組成部分，它為組織提供了一種自動化的方法來應用供應商發(fā)布的軟件補丁來解決安全漏洞。自動化補丁管理工具可以顯示可用補丁，但不一定映射已知漏洞的嚴重性。補丁管理還需要定義策略和程序來識別關鍵漏洞，以及應用安全補丁的定期計劃。

軟件行業(yè)安全補丁改進

近年來，在發(fā)布安全漏洞補丁方面，軟件行業(yè)取得了重大進展。較大的公司必須更加主動地識別和解決其產品中的漏洞。這些公司擁有各種資源，包括正式的漏洞賞金計劃，可用于幫助加快安全補丁的開發(fā)。流程效率和創(chuàng)新幫助他們更快地做出響應。負責將這些安全補丁應用到他們的系統(tǒng)的客戶并不總是能快速響應。

修復嚴重漏洞平均需要60 天，比攻擊者開始利用新發(fā)現(xiàn)的漏洞所需的時間（通常為 15 天）要長得多。攻擊者傾向于利用發(fā)現(xiàn)和補救之間的差距。由于并非所有漏洞都很嚴重，因此根據(jù)潛在影響確定其優(yōu)先級很重要。安全團隊可以專注于首先修補最嚴重的漏洞，從而降低整體風險。

漏洞發(fā)現(xiàn)、排序和修復的循環(huán)是永無止境的。一些自動化補丁管理工具包括補丁分析，可以縮短確保根據(jù)漏洞嚴重程度及時應用補丁所需的總體時間。

解決軟件和設備報廢問題

了解所有資產的狀態(tài)是風險管理的一個重要方面。漏洞可能隱藏在舊資產中，增加了環(huán)境的安全風險。有時可能無法再對軟件和設備進行修補。它們可能已經達到生命周期的盡頭，不再受到供應商的支持，或者根本無法適應現(xiàn)代網絡和安全協(xié)議。攻擊者經常利用舊的、過時的軟件中的漏洞。

正如 2023 X-Force 威脅情報指數(shù)中所報告的那樣，三到五年前的勒索軟件感染仍然存在于一些未打補丁的舊設備中。這些機器在初次感染后很長一段時間內仍未得到解決。

根據(jù)軟件供應商的不同，有一些選項可用于保護已達到生命周期終點的軟件。一些供應商可能會提供延長保修或類似的東西，在軟件達到使用壽命后，軟件更新和安全補丁可以在特定時間段內繼續(xù)使用。當然，這不是長久之計。但它可以給公司多一點時間來探索其他可用的選擇。

無法再更新的未打補丁的資產會給組織帶來額外的風險。評估與其持續(xù)使用相關的長期風險非常重要。NIST 建議定期審查這些資產，以確保系統(tǒng)其余部分的完整性。如果更換還不是一種選擇，將這些未打補丁的資產與網絡的其余部分進行分段或微分段可以提供一些保護，防止?jié)撛诘奈：Α?/p>

當緩解方法不能充分解決未修補資產的風險時，更換可能是唯一可用的其他選擇。定期檢查持續(xù)緩解與完全替換受影響資產的成本效益分析非常重要。

漏洞和補丁管理的未來

補丁已成為網絡安全必不可少的。作為綜合漏洞和補丁管理流程的一部分，成功的補丁管理會減少可利用的漏洞。隨著 CISA 發(fā)布利益相關者特定漏洞分類 (SSVC)系統(tǒng)，漏洞管理有望變得更易于管理，該系統(tǒng)輸出機器可讀的報告，詳細說明漏洞和嚴重性，有助于縮短補救時間。這種新的標準化方法可幫助組織關注最嚴重的漏洞。該系統(tǒng)在設計時考慮了自動化工具。最近以網絡安全為重點的立法也將改變組織處理漏洞和補丁管理的方式。

美國發(fā)布的第 14028 號行政命令“改善國家網絡安全”包括對軟件材料清單 (SBOM) 的要求，其中必須披露有關產品各部分來源的特定信息。旨在提供有關依賴性和已知漏洞的更大透明度以保護軟件供應鏈，此要求在政府軟件合同之外可能會有所幫助。一個完整的 SBOM 可以幫助組織確定軟件組件所需的長期維護，該軟件組件需要隨著時間的推移進行大量補救，或者考慮到存在的漏洞類型，特別容易受到攻擊。

軟件漏洞不會很快消失，保護它們的補丁也不會消失。補丁管理仍將是網絡安全的重要組成部分。漏洞管理的未來改進和 SBOM 中更透明的披露——結合軟件行業(yè)通過正式的漏洞賞金計劃和其他創(chuàng)新的改進——有可能顯著減少修復易受攻擊軟件所需的時間。

原作者：米歇爾格林利