补丁管理面临的主要挑战是网络攻击者不断增长的技术与非数据驱动的,被动式补丁管理之间的差距不断加大。
今天,网络攻击者能够获取哪些漏洞CVE更容易受到攻击的上下文情报,同时利用新技术逃避检测,击败手动补丁管理系统、武器化漏洞。而传统补丁管理的手动方法(或代理过多导致端点过载)不但难以覆盖全部攻击面,而且存在可利用的内存冲突。
根据CrowdStrike的2023年全球威胁报告,无恶意软件的入侵活动占比高达71%,47%的攻击行为是由未修补的安全漏洞造成的,超过一半的组织(56%)依靠手动修复安全漏洞。
更糟糕的是,20%手动修补漏洞的端点仍未在补丁上保持最新状态,容易再次遭到攻击。
“漏洞修补并不像听起来那么简单,”Ivanti首席产品官Srinivas Mukkamala博士说:“即使是人员充足、资金充足的IT和安全团队也会在紧迫需求中遇到优先级排序挑战。为了在不增加工作量的情况下降低风险,组织必须实施基于风险的补丁管理解决方案,并利用自动化来识别、确定优先级甚至修补漏洞,而无需过多的人工干预。”
基于风险的漏洞管理和人工智能是安全厂商追逐的热点
基于风险的漏洞管理(RBVM)是很多CISO技术堆栈整合计划的一部分,这种方法效率更高且部署更快,因为它是基于云的。而基于人工智能的补丁管理则需要持续分析数据流的算法,以便不断“学习”和评估补丁漏洞。
过去,大型企业和行业用户对关键业务系统和端点的补丁管理是被动的,只有发生重大安全事件,例如网络攻击、关键任务系统遭入侵、或访问凭证失窃才会进行必要的修补工作。
根据Ivanti的《2023年安全准备状态报告》,在61%的情况下(下图),只有遭遇外部事件、入侵企图或破坏企业才会重新启动补丁管理工作。
图片来源:Ivanti 《2023年安全准备状况报告》
网络安全团队迫切需要一个更高效、可扩展的系统来确定补丁管理的优先级,该系统可以通过数据分析和情报使流程自动化,大大提高安全团队的效率。
AI补丁管理改变网络安全的5种方式
基于AI的自动化补丁管理,同时利用不同的数据集并将其集成到RBVM平台中,是AI在网络安全中的绝佳用例。基于AI的补丁管理系统可以解读漏洞评估遥测数据,并按补丁类型、系统和端点对风险进行优先级排序。基于风险的评分是这个市场上几乎所有安全厂商都在狂热跟踪人工智能和机器学习技术的原因。
基于AI和机器学习的漏洞风险评级或评分可提供安全团队所需的洞察力,对修补工作流进行优先排序和自动化。以下是AI驱动的补丁管理重新定义网络安全未来的五种主要方式:
1.准确的实时异常检测和预测(抵御AI攻击的第一道防线)
攻击者已经开始利用AI寻找和利用漏洞,对端点上的安全防御边界构成严重威胁。攻击者利用受监督的机器学习算法,通过数据训练,自动识别漏洞的攻击模式并将其添加到攻击者的知识库中。如今,机器身份的数量是人类身份的45倍,暴露在攻击者视野中的端点、系统和资产中未受最新补丁保护的漏洞数量与日俱增。
目前已经披露的漏洞数量超过16万个,补丁管理已经成为安全团队的沉重负担,迫切需要提高补丁管理的自动化水平。人工智能“副驾驶”能够提供更高的上下文智能和检测与预测准确性,帮助团队快速确定优先级、验证和应用补丁。
2.不断学习、改进和扩展的风险评分算法
手动修补漏洞往往会失败,因为它涉及同时平衡许多未知的约束和软件依赖性。考虑安全团队需要处理的所有因素,企业软件供应商发布补丁的速度可能很慢,可能存在不完整的回归测试。匆忙给客户提供的补丁往往会破坏关键任务系统的其他部分,而供应商通常不知道原因。端点上的内存冲突也经常发生,从而降低端点安全性。
风险评分对自动化补丁管理意义重大。漏洞风险评级有助于确定和管理风险最高的系统和端点的修补优先级,有助于简化基于AI的补丁管理。
3.机器学习推动实时补丁情报的发展
机器学习是改进关键基础设施漏洞管理的最有价值的技术之一。监督和非监督机器学习算法有助于实现更快的SLA,提高了数据分析和事件处理的效率、规模和速度。它们有助于增强异常检测。机器学习算法可以为数千个补丁提供威胁情报数据,揭示系统漏洞和稳定性问题。
该领域的领导者包括Automox、Ivanti Neurons for Patch Intelligence、Kaseya、ManageEngine和Tanium。
4.自动化修复可节省大量时间,同时提高了预测准确性
机器学习算法可通过持续分析和学习遥测数据来提高预测准确性并自动执行补救决策。该领域最值得关注的项目之一是快速发展中的机器学习模型EPSS(漏洞利用预测评分系统),该模型来自170位安全专家的集体智慧。
EPSS能够帮助安全团队管理越来越多的软件漏洞并识别最危险的漏洞。现在,EPSS的第三次迭代版本的性能比以前的版本提高了82%。Gartner在其报告“跟踪正确的漏洞管理指标”中写道:“快速修复漏洞的成本高昂,并且可能误入歧途。通过基于风险的补丁修复漏洞更具成本效益,并且针对的是最容易被利用的关键业务威胁。”
5.对端点资产和身份的上下文理解
基于AI的补丁管理的的另一个吸引人的创新领域是利用快速定位、清点和修补需要更新的端点。每个供应商的方法都不同,但共同目标是取代过时的、容易出错的、基于手动库存的方法。补丁管理和RBVM平台提供商正在快速推出新版本,不断提高预测准确性以及识别哪些端点、机器和系统需要打补丁的能力。
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。