重新思考漏洞管理中的风险

如果今天我们不进行真实的风险对话，明天我们所有人都将关注错误的事物。

译自 We Need to Rethink Risk in Vulnerability Management，作者 Vincent Danen 居住在加拿大，是Red Hat公司的产品安全副总裁。他于2009年加入Red Hat，并一直在安全领域工作，专注于Linux、操作安全和漏洞管理等方面已经有多年经验。

由于每年发现的软件漏洞数量不断增长，我们在软件领域需要就什么构成风险进行一次坦率的讨论。几十年前，一个月内发现的漏洞可以用手指头（在糟糕的月份还包括脚趾头）来计数，通过修补每个发现的漏洞，可以轻松地避免任何风险。那些日子早已过去。

如今，我们平均每月发现超过1,500个漏洞。以前行之有效的方法在这个水平上已经不再适用，因此我们需要审视导致我们最终又回到了风险的漏洞管理实践的根本，。

问题并非漏洞数量更多；在过去的20年里，软件的体量呈指数增长，其中漏洞数量与之成线性增长。

与此同时，虽然软件的利用率也在上升，但上升幅度并不相同。根据《网络安全和基础设施安全局》（CISA）的说法，每年实际被利用的软件的平均值是多少呢？只有4%被公开利用的所有发现的漏洞。

最近 Red Hat 发布了一系列五篇博客，讨论了这个具体的挑战。一方面，我们在软件方面都希望避免任何风险，因为处理侵犯事件是很昂贵的。但是根据 Verizon 的说法，不到10%的侵犯事件是由于软件利用引起的。通过专注于软件问题，我们正在通过在错误的地方花钱，使一个昂贵的问题变得更加昂贵。

鉴于软件利用率低和“由于软件”导致的侵犯率低，以及对软件漏洞的高度关注而不是对侵犯实际来源的关注，大量资金被用于修复错误的事物，尤其是如果最终目标是降低侵犯的概率。而这不就是我们的目标吗？

目标不是为了修复所有软件漏洞，只是为了修复它们而修复它们。目标是避免一场可能导致灾难性和昂贵事件对您的业务产生影响。这意味着要专注于侵犯的真正来源：配置错误、欺骗、钓鱼、密码被盗、社会工程等。注意这里的一个重复主题吗？这就是我们所谓的“人的因素”。

这就是为什么有必要重新审视一个非常古老的问题。误解漏洞管理的最终目标和与之相关的成本意味着我们将继续投资于一个回报递减的领域，同时可能忽视那些回报率更高的领域。

这种老旧的思维方式被全球政府和监管机构引入的新法规和立法进一步巩固，这些法规和立法告诉我们要“修复一切”，而不仅仅是那些实际上重要或有风险的事物。我们不知道原因，也无法量化可能的成本，但一个古老的“最佳实践”现在成为了一项要求，因此资金被花费，侵犯继续发生。而这些侵犯变得更加广泛和昂贵。

当安全变成合规时，它不再是安全。合规告诉我们完成一个任务，因为通常是监管机构或政府机构将其作为要求。安全帮助我们最小化风险。在这里存在固有的紧张关系，虽然合规不一定会使您更安全，但更安全应该是使您合规的原因。我们是否正在走错方向？

这是行业需要进行的对话，而进行这种对话的时机是昨天，在引入进一步强化过时实践的新要求之前。如果我们今天不就风险进行坦诚的对话，明天我们所有人都将关注错误的事物。这个挑战影响着我们所有人：软件供应商、立法者、客户和最终用户。

是时候审视和讨论关于补丁管理的传统信仰，以便我们可以聚焦于一个真正基于风险缓解的未来，不仅仅局限于软件。我们需要一种平衡的方法，专注于数据保护，采用“设计时安全，默认时安全”等安全原则，自动化和更好的测试、配置管理和监测变更，以及人员教育。