薛定谔的漏洞:为什么持续漏洞管理不可或缺

本文探讨了现代网络安全中持续漏洞管理的重要性,分析了传统补丁周期的局限性,并提出了分层补丁管理框架,包括例行维护、优先级更新、零日响应和持续合规监控四个层级。

薛定谔的漏洞:为什么持续漏洞管理不可或缺

关键要点

  • IT团队在安全团队缩短SLA时间表的同时,难以测试、验证和部署补丁。Ivanti研究发现,39%的IT和安全专业人士认为优先处理风险修复和补丁部署是一项挑战。
  • 仅依赖传统的固定补丁周期(如补丁星期二)会产生危险的暴露间隙,因为现代威胁和零日漏洞需要立即关注。
  • 主动的、始终在线的漏洞管理要求组织采用分层补丁管理框架,包含四个主要层级:例行维护、优先级更新、零日响应和持续合规监控。

薛定谔的漏洞类比

经典的薛定谔猫思想实验想象一只猫同时处于活着和死亡的状态,直到有人打开盒子。换句话说,在我们确认真相之前,它既是活的也是死的。

现在,将猫换成软件漏洞,你就得到了一个绝佳的类比,描述了当今安全环境中发生的情况。团队在漏洞被发现之前不会知道它的存在,在最坏的情况下,直到它已经被利用。

这种不确定性就是我所说的"薛定谔的漏洞"。

这是在安全假设和暴露现实之间的差距。而这个差距是传统漏洞管理实践无法单独弥补的。

现代威胁环境的挑战

随着威胁行为者利用自动化和AI来提高攻击的速度和规模,漏洞发现与利用之间的时间正在缩短。组织无法承受在识别和修补漏洞上浪费时间。

传统的修补方法采用固定节奏——每月一次或每周一次——但这种方法与现代威胁的现实脱节。

组织需要从仅依赖反应性、计划性的补丁管理和修复周期中走出来。是时候将我们的思维模式转变为一种始终在线、全面的理解潜在漏洞的方式——甚至在我们知道漏洞存在之前。

补丁星期二的问题:现实世界的威胁移动更快

让我们从众所周知的事情开始:补丁星期二是可预测的。补丁星期二仍然是帮助安全团队优先处理更新和修复新识别漏洞的重要实践。像微软、苹果和Ivanti本身这样的领先科技公司都会在常规周期发布更新和补丁,给IT和安全团队时间准备自己的维护周期。

然而,问题是许多漏洞并不那么可预测。

例如,流行的第三方应用程序如Adobe、Mozilla和Google不断发布我们日常使用的常见应用程序(如浏览器)的更新。

对于仅锚定每月维护计划的组织来说,这可能会造成危险的延迟。每次你"关闭盒子"等待下一个补丁窗口时,你就留下了一个29天的暴露间隙。

考虑2025年春季发生的情况:在五周内,Chrome、Edge和Firefox各自识别出需要立即关注的零日漏洞:

  • 在Pwn2Own黑客竞赛中被公开利用的两个Firefox漏洞
  • Chrome及其姊妹浏览器Edge中一个被主动利用的零日漏洞
  • 多个需要迅速行动的快速CVE披露

现代网络攻击者可以逆向工程新发布的补丁,以发现底层漏洞,武器化概念验证漏洞利用并启动自动化攻击。

一旦漏洞被公开披露,你就进入了一个解决该问题的关键窗口期,然后威胁行为者才能利用它。事实上,2025年6月的Chrome零日漏洞(CVE-2025-5419)在补丁发布时就被主动利用,强调了对手能够多快地武器化已披露的缺陷。

扩展我们的薛定谔类比:漏洞管理就像放牧猫群。而任何尝试过放牧猫的人都知道,这是一项24/7、全天候的工作。换句话说,持续漏洞管理现在比以往任何时候都更加关键。

IT负担:持续发布和压缩的SLA

威胁速度只是挑战的一半。随着更多供应商转向持续发布周期,它迫使安全团队缩短SLA,有时是急剧缩短。结果通常是"冒烟测试验证",确认补丁已安装而没有完全检查其影响。这就是错误、兼容性问题和遗漏依赖项溜进来的方式。即使在试图降低安全风险时,你也在增加运营风险。这就像窥视盒子看猫是否在呼吸,却错过了后面开着的窗户。

根据Ivanti的研究,IT团队难以以这种加快的速度测试、验证和部署补丁。近四成(39%)的网络安全专业人士发现优先处理风险修复和补丁部署是一项挑战,35%的人在修补时无法 consistently 保持合规。

不同的方法是必要的

团队需要在其方法上更加主动和持续。这意味着建立暴露管理的心态以更加主动。

风险偏好:暴露管理的起点

每个组织在风险方面都有不同的容忍阈值。那就是你的风险偏好。如果你没有在团队中正式定义这一点,你就无法操作有效的响应策略。

这就是为什么持续漏洞管理始于跨利益相关者的对话。你必须让安全运营、IT和业务领导坐到桌边,解决关键问题:

  • 我们愿意容忍什么级别的暴露?
  • 我们实际上能以多快的速度响应零日威胁?
  • 错误的财务、运营和声誉成本是多少?

勒索软件事件的平均成本现在据报道超过500万美元。这不是小数目,特别是对于较小的组织,高成本可能对其业务构成生存威胁。

对于企业来说,最刺痛的是品牌损害和监管暴露。

无论你的规模如何,这些数字都需要从衡量补丁SLA转向主动管理暴露。

从节奏到覆盖:分层补丁管理框架

在Ivanti,我们通过我们的Neurons for Patch Management平台中的灵活、分层策略框架将这种心态操作化。这始于与现实世界漏洞响应模式一致的三个策略层级:

1. 例行维护

这是你的基线:操作系统更新、计划的第三方补丁、标准卫生。虽然必不可少,但如果单独存在是不够的。你在保持灯火通明,但当风暴来袭时你还没有准备好。

2. 优先级更新

浏览器、协作工具和文档应用程序不断变化,使它们成为利用的主要目标。由于这些应用程序的持续变化和演变,它们需要更快的响应周期和专门构建的策略。我们创建了默认配置,以帮助客户以最小的摩擦主动管理这些高风险应用程序。

3. 零日响应

敏捷性在这里最重要。当发现和披露零日漏洞(或更糟,被利用)时,你没有时间辩论或争论如何响应。你需要预配置、经过实战测试的策略,可以立即转向并在正常周期之外进行修补。

这三个并行运行的层级为组织提供了一个超越基于节奏的修补的起点。它们通过将规定的响应紧迫性与威胁的性质匹配来操作风险偏好的概念。

多层漏洞管理和持续合规

不过,并非每个系统都是完美的。当有东西从裂缝中掉下来时会发生什么?

也许员工在休假。也许系统被关闭了。也许新设备在没有最新补丁的情况下被集成。这些是创造沉默、持久风险的边缘情况。这些就是你自己的薛定谔漏洞。

解决这需要第四个修复轨道:持续合规。

这个任务在后台运行。它监控不符合你从例行到零日的最新修补基线的设备。当它发现差距时,它会自动关闭它们。这就像银行的保险库在窃贼触发警报时自动锁闭。

无需等待下一个补丁星期二或有人手动24/7观看仪表板。这就是真正持续漏洞管理形成的地方。持续的覆盖(和安全)而不是手动反应。

减少噪音:专注于重要事项

这里还有另一个关键好处:显著减少安全团队必须分类的噪音量。

以7月的补丁星期二为例。微软发布了104个CVE的补丁。让我们做数学:假设你的用户群中有3,000台Windows 11机器。这意味着你的漏洞扫描器有超过300,000个"发现"。

但问题是:如果你的暴露管理程序在做它的工作,99%的这些发现已经在你的例行维护、优先级更新或零日响应任务中得到处理和说明。不再需要解析大量冗余警报——你的团队现在可以专注于需要真正关注的内容,包括差距、异常和不合规系统。

这就是你如何从反应性警报疲劳转向主动风险降低。

从补丁管理到准备状态

这最终是一种心态转变。你正在从反应性模型转向主动性模型。你正在从等待漏洞出现并决定如何处理它们,转向以预定义和自动化流程牢固就位的方式响应。

这就是简单修补和做好准备之间的区别。现在它比以往任何时候都更重要,随着CVE数量上升和威胁行为者更快、更聪明、资源更好。

监管期望也在增长。无论是SEC披露规则、国家标准与技术研究院(NIST)框架还是行业特定的合规授权,“合理安全"的标准正在攀升。

基线已经改变:不再是修补和反应。而是持续漏洞管理。

不落入薛定谔的漏洞

回到猫。薛定谔猫思想实验的整个点是,不确定性持续存在,直到你看。

这在概念上很有趣,但当你将这种心态应用于网络安全时是危险的。你不能只是希望你不会受到打击——你必须通过持续监控、修补和执行来管理风险。

有了适当的措施,你不是在打开盒子想知道漏洞是否"活着”。你已经采取了措施来保持它的安全。你可以自信地打开,然后在它甚至变成一扇敞开的门之前关闭暴露的窗口。

在我们的完整基于风险的补丁优先级报告中发现更多最佳实践,以将你当前的修补和修复工作提升到主动、高性能的安全策略。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次