一、漏洞管理的由來：軟件更新

最早的漏洞管理并沒有漏洞的概念，只是單純的補(bǔ)丁管理，并不是網(wǎng)絡(luò)安全工作，而是IT工作。一直到了2001年“紅色代碼”出現(xiàn)之后，微軟才開始常態(tài)化的發(fā)布安全補(bǔ)丁。之后，沖擊波、震蕩波等跨地域感染整個網(wǎng)絡(luò)的大規(guī)模攻擊變得越來越普遍，業(yè)界開始建立平臺系統(tǒng)來記錄和跟蹤這些漏洞。

第一個漏洞平臺是由美國聯(lián)邦機(jī)構(gòu)根據(jù)國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的建議于1999年創(chuàng)建，并于2002年發(fā)布了CVE漏洞命名方法，之后于2011年進(jìn)行更新。一直到了2011年，隨著第一個國家漏洞數(shù)據(jù)庫(NVD)的建立，CVE才得到廣泛普及和應(yīng)用。

NVD是一個全面的網(wǎng)絡(luò)安全漏洞數(shù)據(jù)庫，集成了所有公開的美國政府漏洞資源，提供了行業(yè)資源的參考。它與CVE列表同步并基于CVE列表，CVE列表使用評分系統(tǒng)對風(fēng)險的嚴(yán)重程度進(jìn)行評分。NVD成為安全組織追蹤漏洞并根據(jù)風(fēng)險評分確定優(yōu)先順序的有效工具。

可以說從2011年開始，漏洞管理才成為開始成為安全行業(yè)的最佳實(shí)踐。然而，隨著漏洞的數(shù)量持續(xù)增長，以及IT基礎(chǔ)設(shè)施的復(fù)雜性增加，漏洞管理變得越來越艱難。與它的前身軟件更新不同，許多時候業(yè)務(wù)系統(tǒng)不允許中斷，而且很多機(jī)構(gòu)也沒有安排專門的預(yù)算或團(tuán)隊(duì)來定期進(jìn)行測試、部署和安裝補(bǔ)丁。

NVD的建立是安全行業(yè)在漏洞管理方面的巨大進(jìn)步。然而，有兩個新問題的出現(xiàn)導(dǎo)致漏洞管理的艱難。第一個問題是與時間賽跑，從漏洞被披露的那一刻起，到發(fā)布并應(yīng)用補(bǔ)丁，以確保漏洞不會被壞人利用，這一段時間窗口從過去的數(shù)月到現(xiàn)在的數(shù)天，甚至是數(shù)小時。而且，并非每個漏洞都有補(bǔ)丁。有一種常見的誤解，即每個漏洞都可以通過補(bǔ)丁修復(fù)，但事實(shí)并非如此。數(shù)據(jù)顯示，補(bǔ)丁管理只能覆蓋10%的已知漏洞。這意味著其他90%的已知漏洞無法修補(bǔ)，于是只剩下兩個解決方案，要么找替代方法，要么從頭開始修復(fù)源代碼。

第二個問題是，NVD的建立目的本來是幫助機(jī)構(gòu)抵御攻擊者，但很不幸，壞人也一樣可以參考NVD上的漏洞。尤其是近年來自動化和機(jī)器學(xué)習(xí)令網(wǎng)絡(luò)犯罪更加的方便和低成本，攻擊者根據(jù)NVD中的漏洞數(shù)據(jù)，可快速、輕松地掃描未修補(bǔ)的系統(tǒng)，并確定目標(biāo)系統(tǒng)正在使用哪些軟件版本，以及哪些軟件尚未修補(bǔ)。

網(wǎng)絡(luò)攻防的雙方是不對等的，正如上文中說到的，補(bǔ)丁是滯后的，而攻擊者只需找到一個脆弱點(diǎn)就可能把整個防御體系突破。這就是為什么漏洞管理是安全工作的一個基本底線。然而，面對層出不窮的漏洞，IT和安全團(tuán)隊(duì)捉襟見肘，根本無法跟上任務(wù)的進(jìn)度，迫切需要一種更加有效的方式來做好漏洞管理。

二、基于風(fēng)險的管理：漏洞優(yōu)先級

在漏洞管理方面，有三個主要角色：安全分析師、IT人員和攻擊者。

安全分析人員不斷地對網(wǎng)絡(luò)安全威脅和攻擊進(jìn)行甄別和響應(yīng)。他們通過各種安全工具和威脅來源來評估和理解風(fēng)險，而且經(jīng)常面臨安全事件處理的壓力。他們常常位于可能對組織產(chǎn)生負(fù)面影響的威脅情報、政府預(yù)警和安全事件的風(fēng)頭浪尖。

IT團(tuán)隊(duì)則肩負(fù)著系統(tǒng)可用性和響應(yīng)能力的任務(wù)，這使得他們在實(shí)施補(bǔ)丁時猶豫不決，除非能夠清楚風(fēng)險的優(yōu)先級。他們必須在業(yè)務(wù)系統(tǒng)連續(xù)性和實(shí)施安全補(bǔ)丁兩者之間取得平衡，這些補(bǔ)丁往往是非計(jì)劃內(nèi)的，如果未經(jīng)測試或?qū)彶?，可能會對系統(tǒng)性能和可靠性產(chǎn)生負(fù)面影響。這些IT人員還經(jīng)常各自為崗，管理其職責(zé)范圍內(nèi)的IT運(yùn)維和風(fēng)險。

不幸的是，安全團(tuán)隊(duì)和IT團(tuán)隊(duì)之間通常存在很多配合不順的障礙，使他們無法協(xié)同抵御攻擊者。這是一種不對稱的威脅，攻擊者只需要知道一個弱點(diǎn)或漏洞就可以破防，而防御者必須知道并堵上每一個弱點(diǎn)或漏洞才能做好防御。不僅如此，攻擊者越來越多地利用網(wǎng)絡(luò)犯罪即服務(wù)(CaaS)來實(shí)施網(wǎng)絡(luò)攻擊。以當(dāng)今最大的勒索軟件團(tuán)伙之一Conti為例，就以典型的勒索軟件即服務(wù)模式運(yùn)作。

為了有效防御網(wǎng)絡(luò)犯罪，安全和IT團(tuán)隊(duì)必須通力合作，縮短漏洞修補(bǔ)時間。但不管是出于漏洞數(shù)量太多，還是漏洞的危害程度不同等原因，IT和安全團(tuán)隊(duì)不應(yīng)該也不可能打上所有的補(bǔ)丁。鑒于此，一種基于風(fēng)險的漏洞管理理念開始受到業(yè)界認(rèn)可，即漏洞優(yōu)先級處理。

據(jù)粗略統(tǒng)計(jì)，目前有約有20萬個漏洞，其中2.2萬漏洞有補(bǔ)丁。另一個數(shù)據(jù)是，在這20萬個漏洞里，被惡意軟件武器化的有2.5萬個漏洞中，但這些被武器化的漏洞里，只有2000個漏洞有補(bǔ)丁。這意味著IT和安全團(tuán)隊(duì)必須確定構(gòu)成高風(fēng)險的武器化漏洞。

例如，6000個武器化漏洞能夠遠(yuǎn)程執(zhí)行代碼，有589個補(bǔ)丁可用。但在這6000個武器化漏洞中，只有130個漏洞正在被利用，而且這130個漏洞，只有68個補(bǔ)丁可用。IT和安全團(tuán)隊(duì)則必須優(yōu)先實(shí)施打上這68個補(bǔ)丁。這就是基于風(fēng)險的方法來識別和優(yōu)先考慮哪些漏洞需要盡快補(bǔ)救。美國白宮在2021年6月發(fā)布了一份備忘錄，鼓勵各機(jī)構(gòu)使用基于風(fēng)險的評估策略來推動補(bǔ)丁管理，并加強(qiáng)網(wǎng)絡(luò)安全以抵御勒索軟件攻擊。

總而言之，機(jī)構(gòu)必須專注于修補(bǔ)高風(fēng)險的漏洞。要做到這一點(diǎn)，則需要了解每個漏洞和相關(guān)的補(bǔ)丁。哪些漏洞是已經(jīng)有了利用代碼，已經(jīng)被武器化的，或是與勒索軟件相連，以確保根據(jù)威脅風(fēng)險對補(bǔ)丁進(jìn)行優(yōu)先排序。

三、未來：超自動化

網(wǎng)絡(luò)安全左移和右移的理念已經(jīng)得到業(yè)內(nèi)的廣泛認(rèn)可，但除了應(yīng)用安全，無處不在且不斷快速增長的網(wǎng)絡(luò)空間資產(chǎn)更是令打補(bǔ)丁這項(xiàng)工作成為了不可能的任務(wù)。似乎只剩下一條路可走，自動化，或者說智能化更加準(zhǔn)確些。因?yàn)椋粌H是實(shí)時性，前瞻和預(yù)測也同樣重要。只有機(jī)器速度的識別、理解和響應(yīng)，安全團(tuán)隊(duì)才能夠在幾乎不需要人工干預(yù)的情況下，主動、快速地解決問題。自動化將完成大部分工作，人只是最終的仲裁者，根據(jù)機(jī)器提供的智能分析采取適當(dāng)?shù)男袆記Q策。這個過程區(qū)別于傳統(tǒng)的自動化，可稱之為超自動化。

在接下來的五年里，我們將看到超自動化在漏洞補(bǔ)丁管理中的廣泛應(yīng)用。如果說漏洞管理時代開始于2011年，基于風(fēng)險的漏洞管理開始于2017年(Wanncry和Nopetya)，那么從2023年至2025年將是從基于風(fēng)險的漏洞管理過渡到超自動化管理的時期。

到2025年，我們應(yīng)該看到更多的安全控制以代碼的形式編寫并嵌入到軟件中，比如將策略作為代碼，將安全作為代碼，將開發(fā)作為代碼。同樣，我們將補(bǔ)丁作為代碼，暴露面作為代碼，漏洞枚舉作為代碼?！白鳛橐环N代碼”(as a code)將成為未來十年的流行語。隨著它成為熱門話題，我們將在“自動化技術(shù)嵌入軟件”方面取得巨大進(jìn)展。

漏洞管理的未來將集中于自動化，尤其是漏洞掃描過程的自動化。隨著企業(yè)IT環(huán)境繼續(xù)變得越來越復(fù)雜，現(xiàn)在是時候考慮自動化工具的時候了。