FedRAMP加速漏洞修复：应对AI威胁的新标准

联邦安全监管机构正在考虑要求主要云供应商在短短三天内解决关键网络安全漏洞——这比当前FedRAMP指南快了十倍。

更新的合规规则将适用于联邦风险与授权管理计划（FedRAMP）中的软件供应商，这是政府为任何云服务设定安全基线的系统。更快的修复时间表反映了不断变化的威胁态势：自主AI对手正在立即且大规模地利用高影响漏洞。

三天修复关键漏洞：压力与挑战

三天修复关键漏洞确实非常快，并将给安全团队带来巨大压力。也许这就是当前合规提案使用"应该"措辞的原因：

“供应商应在检测到可信可利用漏洞后的三个日历日内，及时完全缓解或修复互联网可访问资源中的漏洞，“FedRAMP在其关于新漏洞规则的征求意见中表示。

达到FedRAMP高级安全级别（该计划最严格的许可，包含数百项精确的安全控制）的公司已经被期望在30天内修复关键漏洞。通过此次更新，任何FedRAMP授权组织将只有72小时来处理这些漏洞。这些变更将适用于旗舰安全计划的"FedRAMP 20x"改造，这是一项旨在简化FedRAMP流程的努力。

AI技术推动修复紧迫性

如果说有什么不同的话，新指南甚至没有足够快地推动软件供应商修复关键缺陷。这是因为AI技术正在使对手能够缩短利用软件漏洞所需的时间。

防御者可以"安全地"搁置关键软件漏洞数周而不修复的日子已经一去不复返。这当然从来不是安全最佳实践——允许关键、可利用的漏洞在企业环境中持续未修补，相当于数字世界中让家门不上锁并希望不被盗窃。当然，可能不会有人每天尝试扭动门把手，但这是您愿意承担的风险吗？

生成式AI工具正在让攻击者日夜尝试那里的每一个门把手。在自主AI技术出现之前，零日漏洞公开披露与该漏洞实际利用之间的时间差距已经从数周缩短到数天。正如Mandiant报告所示，这种"利用时间”（TTE）指标已从2018年的63天急剧下降到2023年的仅5天。到明年，我们可能会看到实际利用在漏洞细节公开后几小时内发生。

FedRAMP的应对策略

回到那个三天的FedRAMP截止期限：云安全计划的管理者显然已经意识到了这些漏洞趋势。新标准的目标是"通过考虑整个上下文而不仅仅是通用漏洞评分系统（CVSS）风险评分，优先处理实际可利用的弱点，并鼓励自动化漏洞管理，确保供应商及时检测和响应关键漏洞。”

FedRAMP已指出其拟议规则仍可能根据行业反馈而变化。但无论8月21日评论截止后发生什么，趋势已经明确：利用时间正在加速。防御者需要加快速度。

Synack的解决方案

Synack可以提供帮助。在使用Synack的FedRAMP中等授权渗透测试即服务平台（PTaaS）的第一年，客户将其修复关键漏洞的平均时间减少了50%。要了解Synack PTaaS如何帮助您的组织应对新的FedRAMP环境，请安排演示。

Allison Williams是Synack的公共部门副总裁。