联邦安全监管机构正在考虑要求主要云供应商在短短三天内解决关键网络安全漏洞——比当前FedRAMP指南快十倍。
更新后的合规规则将适用于联邦风险与授权管理计划（FedRAMP）中的软件供应商，这是政府为所有云服务设定安全基线的系统。更快的修复时间表反映了不断变化的威胁态势：自主AI对手正在立即大规模利用高影响漏洞。

三天修复关键漏洞非常快，将给安全团队带来巨大压力。或许这就是当前合规提案使用"应该"措辞的原因：
FedRAMP在其关于新漏洞规则的征求意见中表示：“供应商应在检测到可信可利用漏洞后的三个日历日内，及时完全缓解或修复互联网可访问资源中的漏洞。”

达到FedRAMP高级安全级别（该计划最严格的许可，包含数百项精确安全控制）的公司已被要求在30天内修复关键漏洞。通过此次更新，任何FedRAMP授权组织都只有72小时来处理这些漏洞。这些变更将适用于旗舰安全计划的"FedRAMP 20x"改造，该努力旨在简化FedRAMP流程。

为什么如此匆忙？FedRAMP计划经理只是试图阻止安全领导者享受三天周末吗？

代理AI对FedRAMP环境的压力
如果说有什么不同的话，新指南甚至没有足够快地推动软件供应商修复关键缺陷。这是因为AI技术正在使对手能够缩短利用软件漏洞所需的时间。

防御者可以"安全地"搁置关键软件漏洞数周而不修复的日子已经一去不复返。这当然从来不是安全最佳实践——允许关键、可利用的漏洞在企业环境中未修补滞留，相当于数字上不锁前门并希望不被盗窃。当然，可能不会有人每天尝试转动门把手，但这是你愿意承担的风险吗？

生成式AI工具使攻击者能够日夜尝试所有门把手。在代理AI技术出现之前，零日漏洞公开披露与该漏洞实际利用之间的差距已经从数周缩短到数天。正如Mandiant报告所示，这种"利用时间"（TTE）指标已从2018年的63天急剧下降到2023年的仅5天。到明年，我们可能会看到实际利用在漏洞细节公开后数小时内发生。

回到FedRAMP的三天期限：云安全计划的管理者显然已经注意到这些漏洞趋势。新标准的目标是"通过考虑整体背景而不仅仅是通用漏洞评分系统（CVSS）风险评分，优先处理实际可利用的弱点，并鼓励自动化漏洞管理，确保供应商及时检测和响应关键漏洞。"

FedRAMP已指出其拟议规则仍可能根据行业反馈更改。但无论8月21日评论截止后发生什么，趋势已经明确。利用时间正在加速。防御者需要加快速度。

Synack可以提供帮助。在使用Synack的FedRAMP中等授权渗透测试即服务平台（PTaaS）的第一年，客户将修复关键漏洞的平均时间减少了50%。要了解Synack PTaaS如何帮助您的组织应对新的FedRAMP环境，请安排演示。

Allison Williams是Synack的公共部门副总裁。