联邦安全监管机构正在考虑要求主要云供应商在短短三天内解决关键网络安全漏洞——这比当前FedRAMP指南快十倍。

更新的合规规则将适用于联邦风险与授权管理计划中的软件供应商。该计划是政府为云服务设定安全基线的系统。加速修复时间表反映了不断变化的威胁态势：自主AI对手正在立即大规模利用高影响漏洞。

三天修复关键漏洞的速度非常快，将给安全团队带来巨大压力。这或许也是当前合规提案使用"应该"措辞的原因：

“供应商应在检测到可信可利用漏洞后的三个日历日内，及时完全缓解或修复互联网可访问资源中的漏洞，“FedRAMP在其新漏洞规则的征求意见稿中表示。

已达到FedRAMP高级安全级别（该计划最严格的认证，包含数百项严密安全控制）的公司本就需要在30天内修复关键漏洞。此次更新后，任何通过FedRAMP授权的组织都仅有72小时来处理这些漏洞。这些变更将适用于旗舰安全计划"FedRAMP 20x"改造，该计划旨在简化FedRAMP流程。

为何如此急迫？

从某种程度上说，新指南甚至未能推动软件供应商足够快速地修复关键缺陷。这是因为AI技术正助力攻击者大幅缩短利用软件漏洞的时间。

防御者可以"安全地"搁置关键软件漏洞数周而不修复的日子已一去不复返。这从来都不是安全最佳实践——允许关键可利用漏洞在企业环境中长期存在而未打补丁，相当于不锁家门却希望不被盗窃。生成式AI工具正让攻击者能够日夜尝试所有"门把手”。

在自主AI技术出现前，零日漏洞公开与现实世界漏洞利用之间的时间窗已从数周缩短至数天。正如Mandiant报告所示，这一"漏洞利用时间"指标已从2018年的63天骤降至2023年的5天。到明年，我们可能会看到漏洞细节在开放互联网公布后数小时内就出现实际利用。

回到FedRAMP的三天期限：该云安全计划的管理者显然已注意到这些漏洞趋势。新标准的目标是"通过综合考虑整体背景而非仅依赖通用漏洞评分系统风险评分，优先处理实际可利用的弱点，并鼓励自动化漏洞管理，确保供应商及时检测和响应关键漏洞。”

FedRAMP已指出其拟议规则仍可能根据行业反馈调整。但无论8月21日意见征集截止后结果如何，趋势已明朗：漏洞利用时间正在加速，防御者必须加快行动。

Synack可提供帮助。在使用Synack通过FedRAMP中等授权渗透测试即服务平台的第一年内，客户修复关键漏洞的平均时间缩短了50%。要了解Synack PTaaS如何帮助您的组织适应新FedRAMP环境，可预约演示。