補丁管理面臨的主要挑戰是網絡攻擊者不斷增長的技術與非數據驅動的,被動式補丁管理之間的差距不斷加大。

今天,網絡攻擊者能夠獲取哪些漏洞CVE更容易受到攻擊的上下文情報,同時利用新技術逃避檢測,擊敗手動補丁管理系統、武器化漏洞。而傳統補丁管理的手動方法(或代理過多導致端點過載)不但難以覆蓋全部攻擊面,而且存在可利用的內存沖突。

根據CrowdStrike的2023年全球威脅報告,無惡意軟件的入侵活動占比高達71%,47%的攻擊行為是由未修補的安全漏洞造成的,超過一半的組織(56%)依靠手動修復安全漏洞。

更糟糕的是,20%手動修補漏洞的端點仍未在補丁上保持最新狀態,容易再次遭到攻擊。

“漏洞修補并不像聽起來那么簡單,”Ivanti首席產品官Srinivas Mukkamala博士說:“即使是人員充足、資金充足的IT和安全團隊也會在緊迫需求中遇到優先級排序挑戰。為了在不增加工作量的情況下降低風險,組織必須實施基于風險的補丁管理解決方案,并利用自動化來識別、確定優先級甚至修補漏洞,而無需過多的人工干預。”

基于風險的漏洞管理和人工智能是安全廠商追逐的熱點

基于風險的漏洞管理(RBVM)是很多CISO技術堆棧整合計劃的一部分,這種方法效率更高且部署更快,因為它是基于云的。而基于人工智能的補丁管理則需要持續分析數據流的算法,以便不斷“學習”和評估補丁漏洞。

過去,大型企業和行業用戶對關鍵業務系統和端點的補丁管理是被動的,只有發生重大安全事件,例如網絡攻擊、關鍵任務系統遭入侵、或訪問憑證失竊才會進行必要的修補工作。

根據Ivanti的《2023年安全準備狀態報告》,在61%的情況下(下圖),只有遭遇外部事件、入侵企圖或破壞企業才會重新啟動補丁管理工作。

圖片來源:Ivanti 《2023年安全準備狀況報告》

網絡安全團隊迫切需要一個更高效、可擴展的系統來確定補丁管理的優先級,該系統可以通過數據分析和情報使流程自動化,大大提高安全團隊的效率。

AI補丁管理改變網絡安全的5種方式

基于AI的自動化補丁管理,同時利用不同的數據集并將其集成到RBVM平臺中,是AI在網絡安全中的絕佳用例。基于AI的補丁管理系統可以解讀漏洞評估遙測數據,并按補丁類型、系統和端點對風險進行優先級排序。基于風險的評分是這個市場上幾乎所有安全廠商都在狂熱跟蹤人工智能和機器學習技術的原因。

基于AI和機器學習的漏洞風險評級或評分可提供安全團隊所需的洞察力,對修補工作流進行優先排序和自動化。以下是AI驅動的補丁管理重新定義網絡安全未來的五種主要方式:

準確的實時異常檢測和預測(抵御AI攻擊的第一道防線)

攻擊者已經開始利用AI尋找和利用漏洞,對端點上的安全防御邊界構成嚴重威脅。攻擊者利用受監督的機器學習算法,通過數據訓練,自動識別漏洞的攻擊模式并將其添加到攻擊者的知識庫中。如今,機器身份的數量是人類身份的45倍,暴露在攻擊者視野中的端點、系統和資產中未受最新補丁保護的漏洞數量與日俱增。

目前已經披露的漏洞數量超過16萬個,補丁管理已經成為安全團隊的沉重負擔,迫切需要提高補丁管理的自動化水平。人工智能“副駕駛”能夠提供更高的上下文智能和檢測與預測準確性,幫助團隊快速確定優先級、驗證和應用補丁。

不斷學習、改進和擴展的風險評分算法

手動修補漏洞往往會失敗,因為它涉及同時平衡許多未知的約束和軟件依賴性。考慮安全團隊需要處理的所有因素,企業軟件供應商發布補丁的速度可能很慢,可能存在不完整的回歸測試。匆忙給客戶提供的補丁往往會破壞關鍵任務系統的其他部分,而供應商通常不知道原因。端點上的內存沖突也經常發生,從而降低端點安全性。

風險評分對自動化補丁管理意義重大。漏洞風險評級有助于確定和管理風險最高的系統和端點的修補優先級,有助于簡化基于AI的補丁管理。

機器學習推動實時補丁情報的發展

機器學習是改進關鍵基礎設施漏洞管理的最有價值的技術之一。監督和非監督機器學習算法有助于實現更快的SLA,提高了數據分析和事件處理的效率、規模和速度。它們有助于增強異常檢測。機器學習算法可以為數千個補丁提供威脅情報數據,揭示系統漏洞和穩定性問題。

該領域的領導者包括Automox、Ivanti Neurons for Patch Intelligence、Kaseya、ManageEngine和Tanium。 

自動化修復可節省大量時間,同時提高了預測準確性

機器學習算法可通過持續分析和學習遙測數據來提高預測準確性并自動執行補救決策。該領域最值得關注的項目之一是快速發展中的機器學習模型EPSS(漏洞利用預測評分系統),該模型來自170位安全專家的集體智慧。

EPSS能夠幫助安全團隊管理越來越多的軟件漏洞并識別最危險的漏洞。現在,EPSS的第三次迭代版本的性能比以前的版本提高了82%。Gartner在其報告“跟蹤正確的漏洞管理指標”中寫道:“快速修復漏洞的成本高昂,并且可能誤入歧途。通過基于風險的補丁修復漏洞更具成本效益,并且針對的是最容易被利用的關鍵業務威脅。”

對端點資產和身份的上下文理解

基于AI的補丁管理的的另一個吸引人的創新領域是利用快速定位、清點和修補需要更新的端點。每個供應商的方法都不同,但共同目標是取代過時的、容易出錯的、基于手動庫存的方法。補丁管理和RBVM平臺提供商正在快速推出新版本,不斷提高預測準確性以及識別哪些端點、機器和系統需要打補丁的能力。

機器學習 網絡安全 優先級 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接