薛定谔的漏洞:持续漏洞管理不再是可选项

本文探讨了现代网络安全中持续漏洞管理的重要性。文章指出传统固定周期补丁管理(如补丁星期二)已无法应对零日漏洞和自动化攻击的威胁,并提出包含常规维护、优先级更新、零日响应和持续合规监控的四层补丁管理框架,帮助企业实现从被动修复到主动风险管理的转变。

薛定谔的漏洞:为什么持续漏洞管理不再是可选项

最后更新:2025年9月17日

Chris Goettl

关键要点

  • IT团队在安全团队缩短SLA时限的压力下,难以测试、验证和部署补丁。Ivanti研究发现,39%的IT和安全专业人士认为优先处理风险修复和补丁部署具有挑战性。
  • 仅依赖传统固定补丁周期(如补丁星期二)会产生危险的暴露间隙,因为现代威胁和零日漏洞需要立即关注。
  • 主动的、持续运行的漏洞管理要求组织采用包含四个主要层级的分层补丁管理框架:常规维护、优先级更新、零日响应和持续合规监控。

漏洞管理的新范式

经典的薛定谔的猫思想实验描述了一只同时处于生与死状态的猫,直到有人打开盒子才能确定其真实状态。如今,将猫替换为软件漏洞,就完美类比了当前安全环境的现状:团队在漏洞被发现前(最坏情况下是在已被利用时)才会意识到其存在。

这种不确定性就是我所说的"薛定谔的漏洞"——它是安全假设与暴露现实之间的差距,而传统漏洞管理实践无法单独弥合这一差距。

随着威胁行为者利用自动化和AI提升攻击速度与规模,漏洞发现与利用之间的时间窗口不断缩小。组织没有时间浪费在识别和修补漏洞上。传统补丁方法采用固定节奏(每月或每周一次),但这种方式已与现代威胁现实脱节。

组织需要摆脱仅依赖被动、计划性补丁管理和修复周期的做法,转向持续运行、全面的潜在漏洞理解方式——甚至在我们知道漏洞存在之前就做好准备。

补丁星期二的困境:现实威胁移动更快

补丁星期二具有可预测性,它帮助安全团队优先处理更新并修复新发现的漏洞。微软、苹果和Ivanti等领先科技公司定期发布更新和补丁,让IT和安全团队有时间准备维护周期。

但问题在于,许多漏洞并不如此可预测。例如,Adobe、Mozilla和Google等流行第三方应用程序会持续发布我们日常使用的浏览器等常见应用的更新。对于仅锚定月度维护计划的组织,这会产生危险的延迟。每次"关闭盒子"等待下一个补丁窗口时,都会留下29天的暴露间隙。

以2025年春季为例:五周内,Chrome、Edge和Firefox分别发现了需要立即关注的零日漏洞:

  • Pwn2Own黑客竞赛中公开利用的两个Firefox漏洞
  • Chrome及其兄弟浏览器Edge中活跃利用的零日漏洞
  • 多个需要快速应对的CVE披露

现代网络攻击者可以逆向工程新发布的补丁来发现底层漏洞,武器化概念验证漏洞并发动自动化攻击。一旦漏洞公开披露,组织就进入解决该问题的关键窗口期。事实上,2025年6月的Chrome零日漏洞(CVE-2025–5419)在补丁发布时已被野外活跃利用,这凸显了对手武器化已披露漏洞的速度之快。

扩展我们的薛定谔类比:漏洞管理就像放牧猫群——这是一项24/7的全天候工作。换言之,持续漏洞管理比以往任何时候都更加关键。

IT负担:持续发布和压缩的SLA

威胁速度只是挑战的一半。随着更多供应商转向持续发布周期,安全团队被迫缩短SLA,有时甚至大幅压缩。结果往往是"冒烟测试验证"——确认补丁已安装但未完全检查其影响。这就是错误、兼容性问题和遗漏依赖项溜进来的方式。即使在试图降低安全风险时,也在增加运营风险。

根据Ivanti研究,IT团队难以以加快的节奏测试、验证和部署补丁。近四成(39%)网络安全专业人士认为优先处理风险修复和补丁部署具有挑战性,35%的团队在打补丁时无法始终保持合规。

需要不同的方法:团队需要更主动和持续的方法。这意味着建立暴露管理思维以更加主动。

风险偏好:暴露管理的起点

每个组织对风险都有不同的容忍阈值,这就是风险偏好。如果未在团队中正式定义这一点,就无法操作有效的响应策略。

因此,持续漏洞管理始于跨利益相关者的对话。必须让安全运营、IT和业务领导层共同解决关键问题:

  • 我们愿意容忍什么级别的暴露?
  • 我们实际能多快响应零日威胁?
  • 出错时的财务、运营和声誉成本是多少?

勒索软件事件的平均成本据报告已超过500万美元。这对任何组织都不是小数目,尤其对较小企业而言,高成本可能构成生存威胁。对企业而言,品牌损害和监管暴露才是最痛处。无论规模大小,这些数字都要求从衡量补丁SLA转向主动管理暴露。

从节奏到覆盖:分层补丁管理框架

在Ivanti,我们通过Neurons for Patch Management平台中的灵活分层策略框架操作化了这一思维。这始于与现实世界漏洞响应模式一致的三个策略层级:

1. 常规维护

这是基线:操作系统更新、计划性第三方补丁、标准卫生维护。虽然必要,但单独使用不足。你只是在保持运转,但风暴来袭时并未准备好。

2. 优先级更新

浏览器、协作工具和文档应用不断变化,使其成为利用的主要目标。由于这些应用的持续变化和演进,它们需要更快的响应周期和专门构建的策略。我们创建了默认配置,帮助客户以最小摩擦主动管理这些高风险应用。

3. 零日响应

敏捷性在这里最重要。当发现并披露零日漏洞(或更糟,已被利用)时,没有时间争论如何响应。需要预配置、经过实战测试的策略,可以立即转向并在正常周期外打补丁。

这三个并行运行的层级为组织提供了超越基于节奏的补丁管理的起点。它们通过将规定的响应紧急程度与威胁性质匹配,来操作风险偏好概念。

多层漏洞管理和持续合规

但并非每个系统都完美。当有遗漏时会发生什么?可能员工在休假,可能系统关闭,可能新设备集成时未安装最新补丁。这些边缘案例会创造沉默、持续的风险——这就是你自己的薛定谔漏洞。

解决这需要第四个修复轨道:持续合规。此任务在后台运行,监控不符合从常规到零日的最新补丁基线的设备。发现间隙时自动关闭它们。就像银行的保险库在窃贼触发警报时自动锁定。

无需等待下一个补丁星期二或有人24/7手动监控仪表板。这是真正持续漏洞管理成形的时刻:持续覆盖(和安全)而非手动反应。

减少噪音:关注重要事项

另一个关键好处是:大幅减少安全团队需要分诊的噪音量。

以7月补丁星期二为例:微软发布了104个CVE的补丁。假设你的用户群中有3000台Windows 11机器,这意味着漏洞扫描器会产生超过30万个"发现"。但关键是:如果暴露管理程序正常工作,99%的这些发现已在常规维护、优先级更新或零日响应任务中得到处理。不再需要解析大量冗余警报——团队可以专注于需要真正关注的内容,包括间隙、异常和不合规系统。

这就是从被动警报疲劳转向主动风险降低的方式。

从补丁管理到准备状态

这最终是思维转变:从被动模型转向主动模型;从等待漏洞出现并决定如何处理,转向使用预定义和自动化流程进行响应。

这就是简单打补丁与做好准备之间的区别。随着CVE数量上升和威胁行为者更快、更智能、资源更丰富,这比以往任何时候都更重要。

监管期望也在增长。无论是SEC披露规则、NIST框架还是行业特定合规要求,“合理安全"的标准正在提高。

基线已改变:不再是修补和反应,而是持续漏洞管理。

不落入薛定谔漏洞的陷阱

回到猫的比喻。薛定谔猫思想实验的整个要点是,不确定性持续存在直到你观察。这在概念上有趣,但将这种心态应用于网络安全是危险的。不能只是希望不会受到攻击——必须通过持续监控、修补和执行来管理风险。

通过采取正确措施,打开盒子时不会疑惑漏洞是否"存活”。你已经采取措施确保其安全。可以自信地打开,然后在暴露窗口甚至变成敞开大门之前关闭它。

在我们的完整《基于风险的补丁优先级报告》中发现更多最佳实践,将当前补丁和修复工作提升为主动、高性能的安全策略。

常见问题解答

风险偏好如何影响持续漏洞管理方法?
组织首先需要定义风险偏好,即他们愿意接受的风险级别/类型,然后才能为多个修复轨道配置不同优先级。

多层修复策略有哪些不同层级?
多层修复使用包含四个主要层级的分层补丁管理框架:常规维护、优先级更新、零日响应和持续合规监控。

Ivanti是否提供产品帮助实现持续补丁修复和合规?
是的,Ivanti Neurons for Patch Management自动化并跟踪多个并行补丁部署的SLA,持续监控和修复设备以确保它们保持合规。

关于Chris Goettl
Chris Goettl是Ivanti安全产品副总裁,拥有超过15年IT经验,为Ivanti客户支持和实施安全解决方案,并指导Ivanti安全产品的安全战略和愿景。他还是安全布道者,在全球安全活动中就现代网络威胁及有效应对方法提供指导。Chris主持每月关注补丁星期二和安全漏洞的网络研讨会,并经常撰写安全主题博客。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次