<?xml version="1.0" encoding="utf-8"?><rss xmlns:atom="http://www.w3.org/2005/Atom" version="2.0"><channel><title>Ivanti 博客: 作者 </title><description /><language>zh</language><atom:link rel="self" href="https://www.ivanti.com/zh-cn/blog/authors/chris-goettl/rss" /><link>https://www.ivanti.com/zh-cn/blog/authors/chris-goettl</link><item><guid isPermaLink="false">925c7a81-5b2f-4fa9-a517-9039f8c0e69f</guid><link>https://www.ivanti.com/zh-cn/blog/vulnerability-remediation-maturity</link><atom:author><atom:name>Chris Goettl</atom:name><atom:uri>https://www.ivanti.com/zh-cn/blog/authors/chris-goettl</atom:uri></atom:author><category>补丁管理</category><title>要提升安全成熟度，请重新审视您的漏洞修复能力</title><description>&lt;p id="toc_1"&gt;安全团队正被海量漏洞淹没。我们说的是每个季度数以万计的发现项；在大型组织中，这一数字可能达到数十万。如今的 IT 环境已没有明确边界，并横跨各种操作系统平台。以线性方式管理和保护这些资产已不再可行，把每一次修复都视为简单、低影响任务的&lt;a href="https://www.ivanti.com/blog/vulnerability-prioritization-guide" rel="noopener" target="_blank"&gt;漏洞修复流程&lt;/a&gt;同样不可行。&lt;/p&gt;

&lt;p&gt;基于风险的优先级排序通过将威胁背景和业务背景引入漏洞修复流程，帮助团队从噪声中理清重点。这是向前迈出的重要一步。但许多采用了基于风险优先级排序的组织，仍然无法满足 SLA，仍然与 IT 产生摩擦，并且仍眼看着例外事项比修复更快地堆积起来。&lt;/p&gt;

&lt;p&gt;知道先修复什么，只是问题的一部分。&lt;/p&gt;

&lt;p&gt;更困难、也是许多计划仍然欠缺的，是了解这项修复在现实环境中的影响。更重要的是，如何在平衡风险与影响的同时，将修复从每月一次加速为持续流程。&lt;/p&gt;

&lt;p&gt;这就是运营平衡型修复：在承诺实施修复之前，先权衡该修复在现实环境中的影响。它是许多漏洞修复计划中缺失的关键环节，也是暴露面管理成熟度最明确的标志之一。&lt;a href="/zh-cn/resources/v/doc/ivi/2897/d841d481f143" target="_blank"&gt;Ivanti 暴露面管理成熟度模型&lt;/a&gt;将其确定为区分成熟安全计划与被动响应式安全计划的六项核心能力之一。&lt;/p&gt;

&lt;h2&gt;什么是运营平衡型修复？&lt;/h2&gt;

&lt;p&gt;成熟度模型对它的定义很简单：以既有效又切实可行的方式修复或缓解暴露项的能力。也就是在安全紧迫性与系统正常运行时间、补丁测试和业务连续性等 IT 现实之间取得平衡。&lt;/p&gt;

&lt;p&gt;在实践中，它可以归结为一个等式：安全风险加上现实影响，等于有依据的修复决策。如果无法修复暴露项，识别它们就没有价值。而导致计划外停机、破坏生产系统或触发回滚的修复，并没有降低风险，只是转移了风险。&lt;/p&gt;

&lt;h2&gt;漏洞修复成熟度之旅：从被动响应到战略化&lt;/h2&gt;

&lt;h4&gt;第 1 阶段：传统漏洞管理（扫描与打补丁时代）&lt;/h4&gt;

&lt;p&gt;许多组织的漏洞修复正是从这里起步的，也有许多组织至今仍停留在这里。优先级排序由 CVSS 驱动，并遵循先进先出原则。扫描器会告诉您“您有 10,000 个 CVE”，却不会提供哪些漏洞真正重要的背景信息。&lt;/p&gt;

&lt;p&gt;例外事项没有记录。漏洞扫描和修复工作流存在于不同工具中，集成程度极低。&lt;/p&gt;

&lt;p&gt;其结果就是被动响应模式：追逐最新的高关注度披露信息，而不是处理对环境构成最大风险的问题。&lt;/p&gt;

&lt;h4&gt;第 2 阶段：基于风险的漏洞优先级排序（增加背景信息）&lt;/h4&gt;

&lt;p&gt;基于风险的优先级排序提出了两个更好的问题：“这个漏洞是否正在被主动利用？”以及“它影响的资产有多关键？” 将严重性与威胁情报和资产关键性相结合，让安全团队能够更精准地聚焦漏洞修复工作。AI 驱动的漏洞情报和&lt;a href="https://www.ivanti.com/zh-cn/resources/datasheets/ivanti-neurons-for-patch-management"&gt;补丁可靠性评分&lt;/a&gt;进一步加速了这一流程，减轻了以往迫使安全团队在数据不完整的情况下做出优先级判断的手动分析负担。&lt;/p&gt;

&lt;p&gt;但仍然缺少一块关键拼图。基于风险的优先级排序告诉安全团队要修复什么，却没有说明 IT 需要保持哪些系统持续运行。两个团队之间的协作仍常常逐案进行，而修复对 IT 运营的影响仍然是事后才考虑的问题，更多时候甚至成为阻碍组织加速修复活动的拖累。&lt;/p&gt;

&lt;h4&gt;第 3 阶段：缺失的关键环节——运营平衡型修复&lt;/h4&gt;

&lt;p&gt;对于已经具备成熟能力、能够理解某个暴露项现实风险的组织而言，他们接下来会问：“这项修复会对我们需要保持运行的系统产生什么影响？我们是否能够承受继续让其暴露的风险？”&lt;/p&gt;

&lt;p&gt;如果在不考虑下游影响的情况下强行进行漏洞修复，结果就是停机、IT 抵触，以及不断增长的例外事项积压，最终削弱推动这种紧迫性的安全目标本身。&lt;/p&gt;

&lt;p&gt;&lt;a href="https://www.ivanti.com/resources/research-reports/state-of-cybersecurity-report" rel="noopener" target="_blank"&gt;Ivanti 2026 年网络安全现状报告&lt;/a&gt;发现，48% 的安全专业人员表示 IT 团队并未紧急响应网络安全问题，40% 的人认为 IT 对其组织的风险承受能力缺乏了解。当安全和 IT 优先事项不同，又没有共同的解决方式时，就会出现这种情况。&lt;/p&gt;

&lt;p&gt;最成熟的计划不仅通过流程对齐来解决这一问题，还通过自动化消除容易积累摩擦的手动交接环节。&lt;a href="https://www.ivanti.com/resources/whitepapers/automate-it-and-endpoint-management" rel="noopener" target="_blank"&gt;自动化自修复功能&lt;/a&gt;能够主动检测、诊断和修复端点及网络安全卫生问题。这首先减少了需要人工分诊的漏洞数量。当修复内置于端点运行方式之中，而不是事后附加上去时，安全紧迫性与 IT 能力之间的差距会自然缩小。&lt;/p&gt;

&lt;p&gt;这里的成熟度指标很清晰：安全与 IT 之间共享的 KPI、记录在案的例外流程，以及同时兼顾风险降低和业务连续性的漏洞修复跟踪系统。要持续实现这一点，IT 和安全团队必须基于共享数据和共享工作流开展工作。&lt;/p&gt;

&lt;p&gt;当资产可见性、暴露项聚合、基于风险的优先级排序和修复都在&lt;a href="https://www.ivanti.com/zh-cn/resources/whitepapers/ivanti-neurons-platform"&gt;统一平台&lt;/a&gt;上运行时，第 3 阶段所要求的对齐就会成为系统的结构性属性，而不是艰难争取而来的文化成果。&lt;/p&gt;

&lt;h2&gt;运营平衡型修复与基于风险的优先级排序有何不同&lt;/h2&gt;

&lt;p&gt;理解这种演进最简单的方法，是看每种方法能够回答哪些问题。&lt;/p&gt;

&lt;table&gt;
	&lt;tbody&gt;
		&lt;tr&gt;
			&lt;td&gt;
			&lt;p&gt;&lt;strong&gt;方法&lt;/strong&gt;&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;&lt;strong&gt;它能回答的问题&lt;/strong&gt;&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;&lt;strong&gt;它忽略的内容&lt;/strong&gt;&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
		&lt;tr&gt;
			&lt;td&gt;
			&lt;p&gt;传统漏洞管理（VM）&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;存在多少漏洞？&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;背景信息和优先级排序&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
		&lt;tr&gt;
			&lt;td&gt;
			&lt;p&gt;基于风险的优先级排序&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;哪些漏洞构成的风险最大？&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;运营可行性和影响&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
		&lt;tr&gt;
			&lt;td&gt;
			&lt;p&gt;运营平衡型修复&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;在同时考虑安全风险和运营约束的情况下，我们应该先修复哪些漏洞？自动化如何确保这些修复高效且无中断地执行？&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;最全面的方法&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
	&lt;/tbody&gt;
&lt;/table&gt;

&lt;p&gt;这种方法为&lt;a href="/zh-cn/resources/v/doc/ivi/2673/6fc181e54240" target="_blank"&gt;漏洞修复管理&lt;/a&gt;增加了一层背景信息：补丁测试要求、系统依赖关系、维护窗口、潜在停机时间和回滚能力。这些因素决定了一项修复是否能够站得住脚，还是会制造需要回滚的新问题。&lt;/p&gt;

&lt;h2&gt;为什么运营平衡型修复是暴露面管理的核心&lt;/h2&gt;

&lt;p&gt;成熟度模型确定了六项核心能力：资产可见性、资产重要性、现实环境中的漏洞评估、业务驱动的漏洞优先级排序、运营平衡型修复，以及数据/工作流集成。&lt;/p&gt;

&lt;p&gt;在这些能力中，运营平衡型修复是让其他能力转化为行动的执行层。&lt;/p&gt;

&lt;p&gt;没有它，暴露面管理就停留在理论层面。您可以构建完美的资产清单，精确评估每一个漏洞，并生成看起来令人印象深刻的仪表板。&lt;/p&gt;

&lt;p&gt;但如果漏洞修复流程仍然割裂，就会在安全与 IT 之间制造摩擦，已知风险会不断累积，补丁会被延迟，而这些仪表板上的指标也不再反映真实的风险态势。&lt;/p&gt;

&lt;p&gt;成熟度的演进路径从临时性的优先级排序（第 1 阶段），到逐案协作（第 2 阶段），再到由共享 KPI 驱动的修复（第 3 阶段），最终发展为经过审计的回顾复盘和持续改进闭环（第 4 阶段）。并非每个组织都需要在每项能力上达到第 4 阶段。但从临时性方式迈向共享、KPI 驱动的修复，才是真正产生收益的地方。&lt;/p&gt;

&lt;h2&gt;商业价值：平衡安全目标与运营目标&lt;/h2&gt;

&lt;h4&gt;缺乏运营背景的修复所带来的隐性成本&lt;/h4&gt;

&lt;p&gt;当漏洞修复完全由安全紧迫性驱动时，成本会以看不见的方式不断累积，直到演变成系统性问题。&lt;/p&gt;

&lt;p&gt;计划外停机是最明显的成本：关键业务系统在没有适当影响评估的情况下被下线。但其下游影响同样具有破坏性。&lt;/p&gt;

&lt;p&gt;当安全要求在实践中难以执行时，IT 团队会建立变通方案，形成影子流程，反而增加风险而不是降低风险。当例外事项多于合规案例时，例外疲劳就会出现，使 SLA 失去意义。当双方把对方视为鲁莽或阻碍时，安全与 IT 之间的信任也会被侵蚀。&lt;/p&gt;

&lt;p&gt;&lt;a href="https://www.ivanti.com/resources/research-reports/aem" rel="noopener" target="_blank"&gt;Ivanti 的研究&lt;/a&gt;证实了这种摩擦的普遍程度。39% 的网络安全专业人员表示，他们在确定风险修复和补丁部署优先级方面面临困难，35% 的人表示难以维持补丁合规性。&lt;/p&gt;

&lt;p&gt;与此同时，&lt;a href="https://www.ivanti.com/resources/research-reports/state-of-cybersecurity-report" rel="noopener" target="_blank"&gt;仅有 60% 的受访者使用业务影响分析&lt;/a&gt;为风险优先级排序提供依据，只有 51% 使用网络安全暴露评分或基于风险的指数。&lt;/p&gt;

&lt;p&gt;许多组织仍然依赖平均修复时间或已修复暴露项百分比等流程指标。这些指标孤立来看可能表现良好，却很少能说明漏洞修复流程是否真正改善了风险态势。&lt;/p&gt;

&lt;h4&gt;运营平衡型自动化漏洞修复的投资回报率&lt;/h4&gt;

&lt;p&gt;当组织完成这种转变时，成效会很快显现。共享 KPI 推动形成现实可行的修复时间表，进而提升 SLA 合规性。当部署障碍能够被提前预期，而不是在推出过程中才被发现时，平均修复时间就会下降。&lt;/p&gt;

&lt;p&gt;修复能够长期有效，因为它们考虑了系统依赖关系和维护窗口，而不是制造需要回滚的新问题。&lt;a href="https://www.ivanti.com/blog/ring-deployment-user-feedback-patch-management-strategy" rel="noopener" target="_blank"&gt;分环部署&lt;/a&gt;就是一个很好的例子：补丁会逐步推送到更大的群组，并在每个阶段经过验证后再继续扩展。这正是平衡式修复能够落地的原因。&lt;/p&gt;

&lt;p&gt;结合能够处理关联、分诊和部署编排的自动化工作流，这些机制将平衡式修复从概念转变为一个持续运行的系统。当平台承担运营复杂性时，安全团队就能减少管理修复流程的时间，把更多时间用于验证结果。&lt;/p&gt;

&lt;p&gt;在 Ivanti 模型中达到第 3 阶段或第 4 阶段成熟度的组织，会使用同时反映安全和运营结果的指标来跟踪漏洞修复：&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;按已知被利用漏洞与传统严重性分类拆分的 SLA&lt;/li&gt;
	&lt;li&gt;已被利用漏洞的平均修复时间（MTTR）&lt;/li&gt;
	&lt;li&gt;由安全和 IT 共同审核的例外请求百分比&lt;/li&gt;
	&lt;li&gt;重复例外事项随时间减少的幅度&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;其战略价值还不止于此。当漏洞修复管理能够考虑 IT 需要保持哪些系统运行时，安全就不再被视为阻碍者，而是开始成为业务推动者。这种转变能够释放对暴露面管理的持续投资和高管支持。&lt;/p&gt;

&lt;h2&gt;从优先级排序到执行：弥合差距&lt;/h2&gt;

&lt;p&gt;&lt;a href="https://www.ivanti.com/resources/research-reports/risk-based-patch" rel="noopener" target="_blank"&gt;基于风险的漏洞优先级排序&lt;/a&gt;是一项必要演进。但它只解决了问题的一半。如果修复行为本身会造成停机、阻力或不断增加的未记录例外事项，那么知道先修复什么的价值就会受到限制。&lt;/p&gt;

&lt;p&gt;运营平衡型修复通过让安全和 IT 按照同一套行动方案协同工作来弥合差距。这体现在共享 KPI、明确定义的例外事项，以及保护业务连续性的维护窗口中。它还意味着自动化修复工作流，使其能够在潜在停机成为问题之前识别并避免风险。&lt;/p&gt;

&lt;p&gt;借助优先级排序、洞察生成和编排，修复可以跟上环境变化的节奏，而不是被环境甩在后面。借助连接端点和安全数据的统一平台，团队不再与孤岛作战，而是同步推进。&lt;/p&gt;

&lt;p&gt;如需更深入了解如何评估贵组织当前的成熟度，并制定有针对性的增长计划，请参阅&lt;a href="https://www.ivanti.com/zh-cn/resources/v/doc/ivi/2897/d841d481f143"&gt;Ivanti 暴露面管理成熟度模型&lt;/a&gt;。&lt;/p&gt;
</description><pubDate>Thu, 28 May 2026 14:00:05 Z</pubDate></item><item><guid isPermaLink="false">54d55c09-48bd-4922-829d-26edad573b3e</guid><link>https://www.ivanti.com/zh-cn/blog/patch-apocalypse</link><atom:author><atom:name>Chris Goettl</atom:name><atom:uri>https://www.ivanti.com/zh-cn/blog/authors/chris-goettl</atom:uri></atom:author><category>补丁管理</category><category>安全性</category><category>人工智能</category><title>我们正处于补丁末日。这意味着这三个 IT 借口将不再奏效。</title><description>&lt;p&gt;4 月 7 日，Anthropic 宣布，其 Claude Mythos Preview 模型已在各大主流操作系统和主流 Web 浏览器中自主识别出数千个高危和严重级别的零日漏洞。其中超过 99% 在披露当天尚未修补。&lt;/p&gt;&lt;p&gt;两周后的 4 月 21 日，Mozilla 表示已使用同一模型在最新版 Firefox 中发现并修补了 271 个漏洞。Mozilla 自己的评估是：“到目前为止，我们还没有发现任何一种人类能够发现、而该模型无法发现的漏洞类别或复杂程度。”&lt;/p&gt;&lt;p&gt;271 个漏洞只是第一波。Chrome、Edge、Windows、macOS、Linux、FreeBSD——Anthropic 红队披露的 FreeBSD 中存在了 17 年的远程代码执行漏洞（CVE-2026-4747），只是未来趋势的一个早期例子。Anthropic Project Glasswing 旗下的每一家供应商都有望以前所未有的节奏发布修复程序。所有这些修复都会成为带有可用补丁的公开 CVE，并最终指向同一个地方：您的环境。&lt;/p&gt;&lt;p&gt;围绕控制范围的说法也出现了裂痕。4 月 21 日，&lt;a href="https://www.bloomberg.com/news/articles/2026-04-21/anthropic-s-mythos-model-is-being-accessed-by-unauthorized-users" rel="noopener" target="_blank"&gt;彭博社报道称&lt;/a&gt;，一个与 Discord 相关的组织通过第三方供应商环境未经授权访问了 Mythos。Anthropic 表示，该活动并未扩展到该供应商之外。无论类似能力是否已经落入攻击者手中，防御方的准备时间都比 4 月 7 日公告所暗示的更短。&lt;/p&gt;&lt;p&gt;Mythos 进入的是一个本已朝这个方向发展的世界。&lt;a href="https://www.crowdstrike.com/en-us/global-threat-report/" rel="noopener" target="_blank"&gt;CrowdStrike《2026 年全球威胁报告》&lt;/a&gt;记录显示，2025 年 AI 赋能攻击同比增长 89%。这一趋势线早在 Mythos 出现之前就已经存在。&lt;/p&gt;&lt;p&gt;&lt;strong&gt;不妨称之为补丁末日&lt;/strong&gt;。这是一种很现实的运营层面挑战：带有可用补丁的公开 CVE 数量和发布节奏，即将超出大多数 IT 和安全团队现有工作方式的承受范围。&lt;/p&gt;&lt;p&gt;NIST 已经感受到补丁末日的影响。4 月，该机构宣布对国家漏洞数据库（NVD）的运营进行重大调整，以应对提交量激增 263% 的情况。NIST 将不再为所有提交的漏洞提供详细增强信息，而只会为符合高风险标准的漏洞提供此类信息，例如 CISA 已知被利用漏洞目录中的漏洞，或影响关键政府软件的漏洞。NIST 将依赖 CVE 编号授权机构（CNA），例如 Ivanti，而不是自行开展独立评估。&lt;/p&gt;&lt;p&gt;自公告发布以来，我从客户和同行那里听到了同一种回应的三个版本。这三种说法本质上都是为一个节奏更慢的世界设计的方案。&lt;/p&gt;&lt;h2 id="toc_1"&gt;“我们有漏洞扫描器”&lt;/h2&gt;&lt;p&gt;Qualys、Rapid7 和 Tenable 在漏洞发现方面表现出色。扫描器可以发现、标记、评分并列出漏洞。但部署、验证、重启处理和回滚都不在其范围内。这些工作仍然必须在某个地方完成。在大多数项目中，它们会在另一个工具中、由另一个团队、按照另一个节奏来完成。&lt;/p&gt;&lt;p&gt;如今，漏洞利用窗口已缩短到以小时计算，而 Glasswing 队列又即将让积压量翻倍；如果扫描器生成 587 个严重漏洞并把清单交给人工团队处理，它就会成为一种负担。务实的做法是，将您已有的扫描器连接到可根据其发现结果自动采取行动的修复引擎。一个&lt;a href="https://www.ivanti.com/zh-cn/autonomous-endpoint-management"&gt;自主端点管理&lt;/a&gt;（AEM）平台，具备分环部署和回滚能力，并利用漏洞情报为高效修复决策提供基于风险的背景信息，从而在无需人工逐项决策的情况下缩短漏洞清单。&lt;/p&gt;&lt;h2 id="toc_2"&gt;“我们通过工单系统推进审批”&lt;/h2&gt;&lt;p&gt;说到必须由人来做决策……冗长的线性审批流程将显著拖慢修复进程。您上一次需要决定是否部署最新操作系统或浏览器更新是什么时候？&lt;/p&gt;&lt;p&gt;组织其实已经知道这些更新是要部署的。审批流程往往源于复杂的内部政治因素以及安全结果上的不一致。最终结果是什么？一个非常线性的流程：需要前面提到的漏洞扫描器，需要分析师批准一项您已经知道必须完成的工作，需要向业务负责人发送工单并在收件箱中等待批准，最终把宝贵时间浪费在一个本质上已经非常明确、并不真正需要再做的决策上。&lt;/p&gt;&lt;p&gt;市场正在转向&lt;a href="https://www.ivanti.com/zh-cn/exposure-management"&gt;暴露面管理&lt;/a&gt;，它以截然不同的方式处理这一流程，重点是定义组织的风险偏好并监测风险态势。下次 Windows 操作系统更新发布时，您已经知道会部署它、会按什么计划部署，以及会用哪些 SLA 和合规指标来衡量成功。您真正想知道的是：&lt;/p&gt;&lt;p&gt;1. 是否需要加快速度，因为该更新包含已知被利用的漏洞？&lt;/p&gt;&lt;p&gt;或者&lt;/p&gt;&lt;p&gt;2. 该更新是否正在影响运营，因此我们需要放慢速度（好在自主端点管理平台包含带回滚能力的分环部署）？&lt;/p&gt;&lt;h2 id="toc_3"&gt;“我们有 Intune”&lt;/h2&gt;&lt;p&gt;Microsoft Intune 在这里有两个重要的范围限制。&lt;/p&gt;&lt;p&gt;第一，它只管理已注册到 Intune 的设备。未注册和未受管的端点——服务器、承包商笔记本电脑、影子 IT、被忽视的边缘设备——完全不在其可见范围内。在漏洞数量上升期间，这些盲点的增长速度会超过团队手动处理的能力。&lt;/p&gt;&lt;p&gt;第二，虽然 Intune 简化了应用程序部署和更新，但其第三方应用程序覆盖范围和优先级排序深度比大多数管理员意识到的更窄。Intune 可以告诉您&lt;em&gt;哪些内容已过期&lt;/em&gt;，但不能告诉您&lt;em&gt;哪些因素真正增加了您的暴露风险&lt;/em&gt;——这迫使团队在时间紧迫时被动地修补一切，或者依靠猜测行事。&lt;/p&gt;&lt;p&gt;大多数企业环境并非只有 Windows，也并非所有设备都已完整注册，更不是只运行一个小而同质的应用程序栈。当漏洞披露激增时，按常规流程分派补丁会留下缺口，并演变成系统性风险。&lt;/p&gt;&lt;p&gt;保留 Intune。将它与一个发现和修复层配合使用，该层可以发现 Intune 看不到的资产，优先处理最关键的漏洞，并在 Intune 未覆盖的应用程序中可靠地应用补丁。&lt;/p&gt;&lt;h2 id="toc_4"&gt;该如何应对&lt;/h2&gt;&lt;p&gt;自动化就是运营模式。它必须内置到工作流中。&lt;/p&gt;&lt;p&gt;从业者早已理解这一原则。它体现在三个方面：&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;持续分诊。&lt;/strong&gt;已知被利用的漏洞可以走零日响应通道，尤其是在组织中安全性较弱的部分，例如终端用户系统。在此之上，设定并明确浏览器和通信应用等特定应用程序，使其进入优先更新通道，并每周甚至每天检查。其他内容可以等待常规维护窗口到来。&lt;/li&gt;&lt;li&gt;&lt;strong&gt;带自动回滚的分环部署。&lt;/strong&gt;测试环、早期采用者环、广泛生产环境、任务关键环境。这个顺序并不新鲜，但对大多数维护工作都有效。变化在于，某些更新需要压缩时间以适应漏洞利用窗口，而不能等到每月维护。测试环必须实现自动化并具备检测能力——人工检查清单跟不上这样的速度。&lt;/li&gt;&lt;li&gt;&lt;strong&gt;闭环验证。&lt;/strong&gt;只有在确认补丁已安装到端点后，才算完成部署；只有在重新扫描确认后，CVE 才算关闭。大多数团队会跳过这一步，这也是为什么合规证据会在审计前一周变成一场救火。正因如此，我们本周在平台中推出了持续合规功能——在补丁部署过程中持续、自动生成合规证据，并由自动化处理大多数团队无暇完成的优先级决策。&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;Mozilla 的 271 个 Firefox 漏洞只是一个预告。Glasswing 旗下的每一家主要软件供应商都将开始以更快速度修复更多漏洞；而一旦攻击者获得类似模型的访问权限，具备同类能力的攻击者就会寻找这些确切的入口。由此产生的 AI 军备竞赛将直接影响组织需要修复的更新数量和频率，并且节奏会进一步加快。自动化才是支撑项目走下去的关键。仍然只按月打补丁的团队，将面临一段艰难时期。&lt;/p&gt;&lt;p&gt;如果您负责 IT 或安全项目，现在就值得进行一次自我评估。回顾上一次推出的关键补丁。更进一步，如果某个零日漏洞在周五披露，您能否在周一之前完成修复？从 CVE 发布到最后一个端点完成验证安装，计算这段时间。如果这个数字是以周为单位，补丁末日就会找上门来。&lt;/p&gt;</description><pubDate>Wed, 29 Apr 2026 14:00:07 Z</pubDate></item><item><guid isPermaLink="false">0369bacf-a3b0-44db-82b5-ac94c3de5758</guid><link>https://www.ivanti.com/zh-cn/blog/china-self-securing-ivanti-neurons-blog</link><atom:author><atom:name>Chris Goettl</atom:name><atom:uri>https://www.ivanti.com/zh-cn/blog/authors/chris-goettl</atom:uri></atom:author><title>让您的安全策略实现自我保护</title><description>&lt;p&gt;&lt;span&gt;&lt;span&gt;黑客们总是热衷于发动“闪电战”。他们行动迅速、灵活善变，一旦嗅到可乘之机就会改变策略。COVID 疫情改变了我们工作和管理用户与环境的方式，而这些威胁“制造者”们也顺应形势升级了攻击手段。他们以迅雷不及掩耳之势锁定了新的攻击目标。&lt;a href="https://www.zscaler.com/blogs/security-research/30000-percent-increase-covid-19-themed-attacks" target="_blank" rel="noopener"&gt;&lt;span&gt;ZScaler 发布于 4 月的一篇报道&lt;/span&gt;&lt;/a&gt;显示今年 1 月至 3 月期间，与 COVID 疫情相关的网络攻击增加了 30000%。在短短的几个月时间内，黑客们在攻击战术上做出了巨大的转变，充分利用了这次疫情中出现的网络漏洞。如果想有效抵御黑客发动的网络攻击，每个企业都需要尽可能提升自己的业务敏捷性。&lt;/span&gt;&lt;/span&gt;&lt;/p&gt;

&lt;p&gt;&lt;span&gt;&lt;span&gt;RAND 的一项研究报告表明，黑客攻克一个漏洞所需的平均时间为 22 天，&lt;a href="https://www.rand.org/content/dam/rand/pubs/research_reports/RR1700/RR1751/RAND_RR1751.pdf" target="_blank" rel="noopener"&gt;&lt;span&gt;而大多数漏洞将在长达 7 年的时间内处于可攻击的状态&lt;/span&gt;&lt;/a&gt;。&lt;a href="https://www.recordedfuture.com/blog/top-vulnerabilities-2019" target="_blank" rel="noopener"&gt;&lt;span&gt;来自 Recorded Futures 的年度报告&lt;/span&gt;&lt;/a&gt;证实了这一点，该报告列举了 2019 年以来最常被攻击的漏洞。大多数漏洞都属于泄露性漏洞，且在受到攻击前已存在较长时间。&lt;/span&gt;&lt;/span&gt;&lt;/p&gt;

&lt;p&gt;&lt;span&gt;&lt;span&gt;黑客在攻击过程中展示出极为出众的敏捷性和适应性，我们该如何进行应对呢？最佳对策是调整我们的安全策略。我们需要制定有效的自我保护策略。黑客们之所以能够如此熟练地展开攻击，根本原因在于他们多年来一直重复着同一套攻击流程，即侦查漏洞、攻击漏洞、留下后门、内网漫游、外泄\加密数据。他们在一次次实战演练中不断提升自己的攻击手段。所以实际上，他们的攻击方式并没有太多创新，只是自动化程度和实战能力有所提升。&lt;/span&gt;&lt;/span&gt;&lt;/p&gt;

&lt;p&gt;&lt;span&gt;&lt;span&gt;什么是自我保护？通过分析攻击者的手法以及他们对于自动化和机器学习技术的使用，我们可以对真实的威胁做出更快的反应。这种自适应的安全方法由三个部分组成。感知、排序和修复。&lt;/span&gt;&lt;/span&gt;&lt;/p&gt;

&lt;p&gt;&lt;img alt="" src="https://static.ivanti.com/sites/marketing/media/images/blog/2020/07/chinaneuronselfsecure.jpg"&gt;&lt;/p&gt;

&lt;p&gt;&lt;span&gt;&lt;span&gt;&lt;strong&gt;&lt;span&gt;感知&lt;/span&gt;&lt;/strong&gt;&lt;/span&gt;&lt;/span&gt;&lt;/p&gt;

&lt;p&gt;&lt;span&gt;&lt;span&gt;充分了解您的网络环境。检测正在运行的软件和配置，并对其进行分析以寻找漏洞。对变更进行持续监控；如刚连入的新设备和环境中设备状态的变化。&lt;/span&gt;&lt;/span&gt;&lt;/p&gt;

&lt;p&gt;&lt;/p&gt;

&lt;p&gt;&lt;font color="#ff0000" face="times new roman, times, serif"&gt;&lt;span&gt;&lt;b&gt;优先级&lt;/b&gt;&lt;/span&gt;&lt;/font&gt;&lt;/p&gt;

&lt;p&gt;&lt;span&gt;&lt;span&gt;基于风险排定优先级，有效识别正在受到攻击的漏洞，并迅速响应优先级最高的风险。借助预测算法来预测可能产生的变化和威胁，并针对后续行动提供规范化指导。&lt;/span&gt;&lt;/span&gt;&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;&lt;span&gt;&lt;span&gt;&lt;strong&gt;识别关键信息&lt;/strong&gt;&lt;/span&gt;&lt;span&gt;：在面对庞大的数据和种类多样的威胁时，我们通常需要花费很长的时间来确定最佳的解决方案，但通过排定这些信息的优先级，我们可以快速识别能够规避风险最大的关键活动。&lt;/span&gt;&lt;/span&gt;&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;&lt;/p&gt;

&lt;p&gt;&lt;span&gt;&lt;span&gt;&lt;span&gt;&lt;strong&gt;修复&lt;/strong&gt;&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;/p&gt;

&lt;p&gt;&lt;span&gt;&lt;span&gt;应对措施是自我保护流程中最为关键的环节。如果不采取应对措施来消除这些威胁，那么识别出成千上万的威胁只是徒增烦恼罢了。&lt;/span&gt;&lt;/span&gt;&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;&lt;span&gt;&lt;span&gt;&lt;strong&gt;主动&lt;/strong&gt;&lt;/span&gt;&lt;span&gt;：正如前面提到的那样，黑客们的攻击速度很快。我们需要主动出击。首先对付那些优先筛选出的风险。清楚地了解正在受到攻击的漏洞，有助于我们对修复方案进行优化。&lt;/span&gt;&lt;/span&gt;&lt;/li&gt;
	&lt;li&gt;&lt;span&gt;&lt;strong&gt;&lt;span&gt;自适应&lt;/span&gt;&lt;/strong&gt;&lt;span&gt;：我们的修复功能（以及评估）需要能够适应不断变化的环境。COVID 疫情就是一个很好的例子，再一次向我们展示了适应能力的重要性。在我们很快地转为远程办公的同时，我们的安全能力也必须随之提高。无论我们使用的是公共云还是私有云，无论我们是将用户系统、企业设备或 BYOD 部署在本地还是远程，我们都需要确保能有效地管理和应对网络环境中的各种威胁。&lt;/span&gt;&lt;/span&gt;&lt;/li&gt;
	&lt;li&gt;&lt;span&gt;&lt;span&gt;&lt;strong&gt;自动化&lt;/strong&gt;&lt;/span&gt;&lt;span&gt;:黑客们的攻击方式越来越自动化。这意味着他们可以快速发起大规模的网络攻击。我们的应对手段也应该在自动化程度上有所提升。对响应步骤进行自动化升级、缩短步骤之间所需的时间，以及尽可能地减少人工干预，可以极大地提升响应时间并杜绝人为疏忽。&lt;/span&gt;&lt;/span&gt;&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;&lt;span&gt;&lt;span&gt;需要特别注意的是，实现自我保护并不意味着完全不需要人工干预。它侧重于对具有自动化潜力的活动进行自动化改造，生成快速决策所需的分析数据，并为分析人员确定修复行动的优先级，然后以自动化的方式在极短的时间内完成“审批”并及时响应紧急威胁。&lt;/span&gt;&lt;/span&gt;&lt;/p&gt;

&lt;p&gt;&lt;span&gt;&lt;span&gt;如需获取有关自我保护的更多信息，请访问&lt;a href="https://www.ivanti.com/zh-cn/ivanti-neurons"&gt;Ivanti 神经元介绍&lt;/a&gt;，还可以下载免费试用产品！&lt;/span&gt;&lt;/span&gt;&lt;/p&gt;</description><pubDate>Thu, 30 Jul 2020 02:04:19 Z</pubDate></item><item><guid isPermaLink="false">0b2bc905-a692-4172-95ff-964d4e052ab2</guid><link>https://www.ivanti.com/zh-cn/blog/%E5%AE%89%E5%85%A8%E5%A8%81%E8%83%81%E4%B8%8E%E6%97%A5%E4%BF%B1%E5%A2%9E-2019-%E5%B9%B4%E7%9B%91%E7%AE%A1%E5%8A%9B%E5%BA%A6%E4%BA%9F%E5%BE%85%E5%8A%A0%E5%BC%BA</link><atom:author><atom:name>Chris Goettl</atom:name><atom:uri>https://www.ivanti.com/zh-cn/blog/authors/chris-goettl</atom:uri></atom:author><category>安全性</category><title>安全威胁与日俱增，2019 年监管力度亟待加强</title><description>&lt;p&gt;&lt;a href="https://www.businessinsider.com/data-hacks-breaches-biggest-of-2018-2018-12#4-myfitnesspal-150-million-18" target="_blank" rel="noopener"&gt;2018 年，数据泄露事件频发&lt;/a&gt;，且尚无转好的迹象。数起大规模泄露事件撼动全球，最终促成了 GDPR 等更严苛隐私法规的顺利出台，以及&lt;a href="https://privacylaw.proskauer.com/2018/07/articles/data-privacy-laws/the-california-consumer-privacy-act-of-2018/" target="_blank" rel="noopener"&gt;《2018 年加州消费者隐私法案》&lt;/a&gt;等相关举措。可以肯定的是，在 2019 年，数据泄露问题并不会消失匿迹。而与此同时，更多隐私法律有望出台，帮助受影响用户了解自身面临的种种威胁，同时敦促企业更加关注安全性，全力保护客户数据，并在必要时承担相应责任。&lt;/p&gt;

&lt;p align="center"&gt;&lt;/p&gt;

&lt;p&gt;Ivanti 的&lt;a href="https://www.ivanti.com/zh-cn/network-security" target="_blank"&gt;安全产品&lt;/a&gt;竭力帮助客户减少甚至消除经常导致数据泄露的安全事件。在 2019 年，您可以参考以下建议，以便改善安全性，并杜绝安全事件的发生：&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;&lt;strong&gt;持续推进漏洞管理，弥补安全缺口&lt;/strong&gt;。大多数漏洞管理计划均具备漏洞评估功能，并可集成至 SIEM 或 SOAR 平台中，以整合并优先考虑您的总体安全态势。然而，在修复和填补缺口时，却往往采用手动方式。在 2019 年，选择自动切换到补丁管理及其他解决方案，即可高效填补安全缺口。&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;减少修补时间&lt;/strong&gt;。在安全方面，时间是我们最大的挑战。漏洞暴露越久，攻击者挖掘漏洞的时间就越多。不少公司都发现，不仅存在超过一年的漏洞可能会造成安全事件，很多存在两至四周的漏洞同样也不容小觑。优先处理风险最高的漏洞，并在两周内妥善解决，有望显著降低暴露风险。探究如何更快地对最紧急的漏洞进行优先排序，并缩短修补时间。&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;部署应用程序控制&lt;/strong&gt;。一切在于“信任”二字。倘若无法验证可靠性，就直接阻止运行。零日防护、勒索软件防护、恶意软件防护的实现方式皆是如此。对您而言，应用软件控制无疑是效率最高的可行举措之一，但鉴于其范围和复杂性，其牵涉的挑战也颇大。目前，向用户提供自助服务，实乃行业大势所趋，个中难度自然更上一层楼。而信任模型，则可针对更易使用和维护的应用程序提供基线，进而显著降低您的拥有成本。&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;强化权限管理&lt;/strong&gt;。网络安全问题大多源于软件漏洞，而正是这些漏洞的存在，给了攻击者以可乘之机。一旦攻击者利用漏洞侵入系统，相关权限就成为最后一道防线。攻击者能做些什么？如果被入侵的用户仅具备较低权限，势必将减缓攻击者的速度，因为攻击者需要想方设法地提升自己的权限，以实施更具破坏性的攻击。当然，权限管理的限制作用远不止于此。威胁源起方通常会侵入系统，并运行其他工具，以获取一组凭据，然后再通过 Mimikatz 之类的工具来解锁更多权限。接下来，威胁源起方会利用环境中的已知用户和受支持系统工具，肆意窥视并挖掘有价值的数据。您需要将权限尽可能降至最低，并考虑各种环境配置，以限制后续入侵行动。&lt;/li&gt;
&lt;/ul&gt;

&lt;p align="center"&gt;&lt;/p&gt;

&lt;p&gt;为了帮助您更全面地了解行业发展趋势，以下是一些颇为大胆的预测。在您制定未来安全方针时，不妨稍作参阅：&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;到 2020 年，无法摆脱 Windows 7 但又不愿购买 Microsoft 扩展支持的公司将面临严重安全漏洞，其间牵涉巨大的风险，但漏洞修补的手段却极为有限。&lt;/li&gt;
	&lt;li&gt;到 2020 年，将有大公司面临最高 2000 万欧元或年收入 4% 的 GDPR 罚款。&lt;/li&gt;
	&lt;li&gt;到 2021 年，企业的“操作性知识”，即人类与人工智能“学习”结合的产物，将会被视作可供出售的资产，也注定成为黑客眼中的肥肉。&lt;strong&gt;知识将成为真正的价值资产。&lt;/strong&gt;&lt;/li&gt;
	&lt;li&gt;到 2021 年，由于全面启用面部或其他生物特征，身份识别将变得更稳定可靠。文本密码终将被淘汰。&amp;nbsp;&lt;/li&gt;
	&lt;li&gt;2019 年，至少有一家公司会因数据泄露而被推向生死边缘。&lt;/li&gt;
	&lt;li&gt;到 2020 年，Microsoft 将成为市场上数一数二的防病毒软件供应商，有望占据逾 50% 的市场份额，并被公认为值得信赖的防病毒软件供应商。&amp;nbsp;&lt;/li&gt;
&lt;/ul&gt;
</description><pubDate>Wed, 27 Feb 2019 09:21:58 Z</pubDate></item></channel></rss>