薛定谔的漏洞：为什么持续漏洞管理不是可选项

关键要点

• IT团队在安全团队缩短SLA时间表的同时，难以测试、验证和部署补丁。Ivanti研究发现，39%的IT和安全专业人士认为优先处理风险修复和补丁部署是一项挑战。
• 仅依赖传统的固定补丁周期（如补丁星期二）会创建危险的暴露间隙，因为现代威胁和零日漏洞需要立即关注。
• 主动、始终在线的漏洞管理要求组织采用分层补丁管理框架，包含四个主要层级：例行维护、优先级更新、零日响应和持续合规监控。

薛定谔的漏洞类比

经典的薛定谔猫思想实验想象一只猫同时处于活着和死亡的状态，直到有人打开盒子。换句话说，在我们确认真相之前，它既是活的也是死的。

现在，将猫换成软件漏洞，你就得到了一个绝佳的类比来描述当今安全环境中发生的情况。团队在发现漏洞之前不会知道它的存在，在最坏的情况下，直到它已经被利用。

这种不确定性就是我所说的"薛定谔的漏洞"。

这是在安全假设和暴露现实之间的差距。而这个差距是传统漏洞管理实践无法单独弥合的。

现代威胁环境的挑战

随着威胁行为者利用自动化和AI来增强攻击的速度和规模，漏洞发现与利用之间的时间正在缩短。组织无法浪费时间去识别和修补漏洞。

传统的修补方法采用固定节奏——每月一次或每周一次——但这种方法与现代威胁的现实脱节。

组织需要从仅依赖反应性、计划性的补丁管理和修复周期中拓展出来。是时候将我们的思维模式转变为一种始终在线、全面的理解潜在漏洞的方式——甚至在我们知道漏洞存在之前。

补丁星期二的问题：现实世界的威胁移动更快

补丁星期二是可预测的。补丁星期二仍然是帮助安全团队优先处理更新和修复新识别漏洞的重要实践。像微软、苹果和Ivanti本身这样的领先科技公司都会在定期周期内发布更新和补丁，给IT和安全团队时间准备自己的维护周期。

然而，问题是许多漏洞并不那么可预测。

例如，流行的第三方应用程序如Adobe、Mozilla和Google不断发布我们日常使用的常见应用程序（如浏览器）的更新。

对于仅锚定每月维护计划的组织来说，这可能造成危险的延迟。每次你"关闭盒子"等待下一个补丁窗口时，你就留下了29天的暴露间隙。

考虑2025年春季发生的情况：在五周内，Chrome、Edge和Firefox各自识别出需要立即关注的零日漏洞：

• 在Pwn2Own黑客竞赛中被公开利用的两个Firefox漏洞
• Chrome及其姊妹浏览器Edge中主动利用的零日漏洞
• 多个需要迅速行动的快速CVE披露

现代网络攻击者可以逆向工程新发布的补丁，发现底层漏洞，武器化概念验证漏洞利用并启动自动化攻击。

一旦漏洞被公开披露，你就进入了一个解决该问题的关键窗口期，然后威胁行为者才能利用它。事实上，2025年6月的Chrome零日漏洞（CVE-2025–5419）在补丁发布时就被主动利用，强调了对手能够多快地武器化已披露的缺陷。

扩展我们的薛定谔类比：漏洞管理就像放牧猫群。而任何尝试过放牧猫的人都知道，这是一项24/7、全天候的工作。换句话说，持续漏洞管理现在比以往任何时候都更加关键。

IT负担：持续发布和压缩的SLA

威胁速度只是挑战的一半。随着更多供应商转向持续发布周期，它迫使安全团队缩短SLA，有时是戏剧性的。结果通常是"冒烟测试验证"，确认补丁已安装而没有完全检查其影响。这就是错误、兼容性问题和遗漏依赖项溜进来的方式。即使试图降低安全风险，你也在增加操作风险。这就像偷看盒子看猫是否在呼吸，却错过了后面开着的窗户。

根据Ivanti研究，IT团队正在努力以那种增加的速度测试、验证和部署补丁。近四成（39%）的网络安全专业人士发现优先处理风险修复和补丁部署是一项挑战，35%的人在打补丁时无法始终保持合规。

需要一种不同的方法。团队需要在其方法中更加主动和持续。这意味着建立暴露管理的思维模式以更加主动。

风险偏好：暴露管理的起点

每个组织在风险方面都有不同的容忍阈值。这就是你的风险偏好。如果你没有在团队中正式定义这一点，你就无法操作有效的响应策略。

这就是为什么持续漏洞管理始于跨利益相关者的对话。你必须让安全运营、IT和业务领导坐到桌边来解决关键问题：

• 我们愿意容忍什么级别的暴露？
• 我们实际上能多快响应零日威胁？
• 错误的财务、运营和声誉成本是多少？

勒索软件事件的平均成本现在据报道超过500万美元。这不是小数目，特别是对于较小的组织，高成本可能对其业务构成生存威胁。

对于企业来说，最痛的是品牌损害和监管暴露。

无论你的规模如何，这些数字都要求从衡量补丁SLA转向主动管理暴露。

从节奏到覆盖：分层补丁管理框架

在Ivanti，我们通过我们的Neurons for Patch Management平台中的灵活、分层策略框架操作化了这种思维模式。这始于与真实世界漏洞响应模式一致的三个策略层级：

1. 例行维护

这是你的基线：操作系统更新、计划的第三方补丁、标准卫生。虽然必要，但如果单独存在是不够的。你在保持运转，但当风暴来袭时你还没有准备好。

2. 优先级更新

浏览器、协作工具和文档应用程序不断变化，使它们成为利用的主要目标。由于这些应用程序的持续变化和演进，它们需要更快的响应周期和专门构建的策略。我们创建了默认配置，以帮助客户以最小摩擦主动管理这些高风险应用程序。

3. 零日响应

敏捷性在这里最重要。当发现和披露零日（或更糟，被利用）时，你没有时间辩论或争论如何响应。你需要预配置、经过战斗测试的策略，可以立即转向并在正常周期外打补丁。

这三个并行运行的层级为组织提供了超越基于节奏的修补的起点。它们通过将规定的响应紧急程度与威胁性质匹配来操作风险偏好的概念。

多层漏洞管理和持续合规

然而，并非每个系统都是完美的。当某些东西溜过裂缝时会发生什么？

也许员工在休假。也许系统被关闭了。也许新设备在没有最新补丁的情况下被集成。这些是创建沉默、持续风险的边缘情况。这些就是你自己的薛定谔漏洞。

解决这需要第四个修复轨道：持续合规。

这个任务在后台运行。它监控不符合你从例行到零日的最新修补基线的设备。当它发现间隙时，它会自动关闭它们。这就像银行的保险库在窃贼触发警报时自动锁闭。

无需等待下一个补丁星期二或有人手动24/7观看仪表板。这就是真正持续漏洞管理形成的地方。持续覆盖（和安全）而非手动反应。

减少噪音：专注于重要事项

这里还有另一个关键好处：显著减少安全团队必须分诊的噪音量。

以7月的补丁星期二为例。微软发布了104个CVE的补丁。让我们做数学：假设你的用户群中有3,000台Windows 11机器。这意味着你的漏洞扫描器有超过300,000个"发现"。

但事情是这样的：如果你的暴露管理程序在做它的工作，99%的这些发现已经在你的例行维护、优先级更新或零日响应任务中得到处理和解释。不再需要解析大量冗余警报——你的团队现在可以专注于需要真正关注的内容，包括间隙、异常和不合规系统。

这就是你从反应性警报疲劳转向主动风险减少的方式。

从补丁管理到准备状态

这最终是一种思维模式转变。你正在从反应性模型转向主动性模型。你正在从等待漏洞出现并决定如何处理它们，转向以预定义和自动化流程牢固就位的方式响应。

这就是简单修补和做好准备之间的区别。现在比以往任何时候都更重要，随着CVE计数上升和威胁行为者更快、更聪明、资源更好。

监管期望也在增长。无论是SEC披露规则、国家标准与技术研究院（NIST）框架还是行业特定合规授权，“合理安全"的标准正在攀升。

基线已经改变：不再是修补和反应。而是持续漏洞管理。

不落入薛定谔的漏洞

回到猫。薛定谔猫思想实验的整个点是，不确定性持续存在，直到你看。

这在概念上很有趣，但当你将这种心态应用于网络安全时是危险的。你不能只是希望你不会被击中——你必须通过持续监控、修补和强制执行来管理风险。

有了正确的措施，你不是在打开盒子想知道漏洞是否"活着”。你已经采取措施保持它的安全。你可以自信地打开，然后在它甚至成为敞开的大门之前关闭暴露窗口。

常见问题

组织的风险偏好如何告知其持续漏洞管理方法？

组织首先需要定义其风险偏好，即他们愿意接受的风险级别/类型，然后才能为其多个修复轨道配置不同的优先级。

多层修复策略的不同层级是什么？

多层修复使用分层补丁管理框架，包含四个主要层级：例行维护、优先级更新、零日响应和持续合规监控。

Ivanti是否销售产品来帮助实现持续补丁修复和合规？

是的，Ivanti Neurons for Patch Management自动化并跟踪多个并行补丁部署的SLA，并持续监控和修复设备以确保它们保持合规。