执行摘要
漏洞管理已到达临界点。Anthropic 的 Claude Mythos、OpenAI 的新 ChatGPT 模型等 AI 模型及新兴竞争者,已将漏洞发现从一个受限的、专家驱动的过程转变为以机器速度运行的工业化能力。Mythos 是众多此类模型之一,正在同时加速供应商、研究人员和威胁行为者的威胁发现进程。
这是一种永久性的转变。发现以机器速度推进,而修复仍受限于人类的处理能力。安全领导者将此称为"补丁末日"——漏洞规模、速度和可利用性超越传统补丁修复方法的临界点。
全新的威胁形势
- CVE 披露数量已激增至每年 45,000 个以上,是历史基线的三倍——这是 AI 驱动的自动化漏洞发现的直接结果
- 漏洞利用时间已缩短至平均 5 天,这是由 AI 驱动的补丁逆向工程和自动化漏洞利用生成所致
- 尽管零日漏洞备受媒体关注,已知漏洞(N-day)仍是大多数真实世界安全漏洞事件的驱动因素
- 谷歌 Chrome 等主要供应商已转向每周发布补丁。随着更多供应商采用持续发布周期,传统的每月维护窗口已无法跟上节奏
- 受监管的组织面临越来越大的压力,必须更快响应,无论其内部计划如何
企业必须从被动的补丁管理方式转向能够实时评估风险的持续暴露管理框架。Ivanti Neurons 等平台通过自主端点管理 (AEM) 实现这一能力——自动定义您的补丁风险承受度,持续监控当前安全态势,并基于风险进行修复。
补丁末日:结构性危机,而非卫生问题
多年来,补丁管理运作良好。每个月识别漏洞、按严重程度排序优先级、部署修复程序,如此循环往复。当漏洞发现以人类速度推进,攻击者将缺陷转化为漏洞利用工具面临重重阻碍时,这一模式运转正常。
那个时代已经结束。
AI 没有破坏漏洞管理——它揭示了漏洞管理早已存在的缺陷。企业如今面临"补丁末日"——根源不在于卫生习惯差或投入不足,而在于机器速度的发现能力与仍在按计划修复周期工作的人类团队之间的正面碰撞。
加速危机的三股汇聚力量
CVE 数量与风险脱钩:仅 2025 年就发布了近 48,000 个 CVE。但 CVE 数量并不等于风险。海量漏洞压垮了传统的基于严重程度的优先级排序,导致分析瘫痪。AI 模型现在发现了数千个此前未知的漏洞,包括经过数十年审查仍存活的零日漏洞。修复速度足够快的漏洞不足 1%,CVE 基础设施无法消化输出量。
零日漏洞稳定在更高基线:零日漏洞利用现在的运作基线已显著高于历史常态。Mythos 等 AI 模型清楚地证明了这一差异。传统方法仅产生了 2 个可用的 Firefox 漏洞利用,而 AI 辅助方法生成了 181 个——成功率提升了 90 倍。这一转变已将零日漏洞从国家级战略资产转变为以计算资源可用性而非专业知识为界限的工业化输入。
已知漏洞(N-day)驱动大多数安全漏洞事件:尽管媒体聚焦于零日漏洞,N-day 漏洞仍驱动着大多数真实世界的安全漏洞事件。漏洞利用时间已大幅压缩。AI 模型擅长逆向工程补丁和差异比较代码,几乎能立即将已披露的 CVE 转化为可靠的漏洞利用工具。攻击者将零日漏洞保留给战略性入侵;N-day 漏洞则驱动批量操作。
为什么传统的以补丁为中心的模型无法规模化
企业必须从传统的补丁周期和基于严重程度的优先级排序,转向持续的暴露管理,其中自主端点管理提供所需的集成补丁修复能力,以应对机器速度级别的威胁。
全新的运营现实
补丁频率增加:谷歌 Chrome 等主要供应商已转向每周发布补丁,更多供应商预计将跟随这一节奏。这一转变代表着与每月"补丁星期二"模式的根本性决裂。AI 驱动的发现将推动更频繁的更新,强调需要定期进行补丁管理,而不是按月度或季度批量处理。针对已被利用漏洞的软件发布通常发生在组织维护计划之外。
响应窗口缩短:响应窗口正在急剧缩短。随着 CVE 发现速率加快,从披露到主动利用之间的时间持续压缩。正如 Ivanti 端点安全产品管理副总裁 Chris Goettl 所指出的,"许多组织目前难以跟上针对已利用漏洞的优先更新,尤其是当这些更新发生在正常月度维护周期之外时。"
为什么仅靠补丁的安全策略无法规模化
每月维护窗口、基于严重程度的优先级排序、严重依赖 ITIL 的审批流程和人工分类,都有一个致命缺陷:它们随着人力投入线性扩展,而威胁则随着计算资源可用性呈指数级增长。
持续交付困境:当关键漏洞在维护窗口之间出现时,组织面临两难选择。当"紧急"补丁成为每周事件时,无论是紧急打补丁还是接受临时风险,都无法规模化。
严重性评分的虚假信号:CVSS 评分衡量的是理论影响,而非实际风险。团队往往将没有已知漏洞利用的"严重"漏洞的优先级,排在野外被主动利用的"中等"缺陷之上——尽管后者才是真实安全漏洞的驱动因素。
资产可见性缺口:许多组织缺乏对已部署软件版本的全面实时可见性。没有这一基础数据层,基于风险的优先级排序就无从实现——安全团队无法优先修复他们不知道存在的资产。
基于暴露的补丁管理框架
重新定义网络风险
未来需要重新定义组织对安全风险的概念化方式。网络风险的基本单位不再是漏洞本身,而是可利用性以及暴露窗口的缩减。
四项原则指导这一转变。
- 假设利用压力始终存在:未知缺陷是必然的。与其对每次披露做出反应,不如在架构环境时假设未打补丁的漏洞存在并将被发现。
- 优先考虑可被利用的,而不仅仅是存在的:可利用性胜过严重程度。风险来自技术影响、漏洞利用可用性和资产暴露的交叉点。传统严重性评分只考虑第一个因素。
- 衡量结果,而非产出:关注暴露减少,而非已应用的补丁。以结果为导向的指标包括已知被利用漏洞的修复时间,以及具有可利用暴露的关键资产百分比。
利用自主端点管理构建基于暴露的补丁管理框架
仅靠思维方式的转变,组织无法实现基于暴露的补丁管理——成功需要将自主端点管理作为集成修复层,将风险意识转化为自动化行动:
定义风险承受度:组织必须明确指定哪些漏洞类别、资产类型和利用场景需要立即修复,而非计划维护。其基础建立在经过记录、获得高层批准的风险承受度声明上,该声明定义了可接受的风险阈值。这将转化为自动化决策逻辑,而非临时的人工判断。
监控风险态势:风险态势代表任何时刻的实际安全状态——当前状态与期望风险承受度之间的实时差值。组织可以追踪"暴露于主动利用的关键资产百分比"和"违反风险承受度的时间",而不是衡量"已部署的补丁"。
利用自主端点管理自动化基于风险的部署:将风险态势缺口转化为自动化工作流,需要按风险部署——根据资产重要性、暴露程度和漏洞利用可用性对补丁进行优先级排序,而非依据供应商严重性评分。自主端点管理平台通过将全面的资产可见性与能够以机器速度行动的智能自动化相结合来实现这一目标。当资产偏离风险承受度的合规状态时,修复工作将通过自主端点管理自动处理。定期维护周期成为基线,由风险驱动的自动化处理紧急的并行更新,以维持持续合规。
解决方案:Ivanti Neurons for Patch Management
应对这些挑战需要从被动的、手动的补丁管理,向自主的、风险驱动的修复能力进行根本性转变。Ivanti Neurons for Patch Management 通过专为AI 驱动的威胁形势而构建的集成自主端点管理平台实现这一转变。
应对 AI 加速威胁的自主能力
Ivanti Neurons 是一个统一的自主端点管理平台,专为 AI 驱动的威胁形势中的自主 IT 和安全运营而架构。正如Ivanti CEO Dennis Kozak 所解释的,"组织需要的系统不仅能够检测问题,还具备安全、大规模地做出决策并采取行动的能力。"
持续合规:消除补丁缺口
Ivanti Neurons for Patch Management 引入了持续合规——一种自动化执行框架,消除了计划部署与监管要求之间的缺口。
优先修复:自动识别不合规的端点,并在计划窗口的同时并行部署补丁。当资产错过计划部署(无论是离线、网络问题还是暂时性故障),持续合规确保修复在条件具备时立即发生,而不是等待下一个周期。
自动化合规验证:自动化合规验证验证实际的补丁安装和配置状态,而不是假设部署成功。这种闭环验证确保合规跟踪反映现实,而非部署意图。
基于风险的优先级排序:与漏洞情报的集成使关键漏洞能够自动升级为立即修复。当 CVE 从已披露转变为被主动利用时,易受攻击的资产会自动获得优先修复,无需等待人工重新分类。
这一自动化框架为团队有效应对任何补丁需求增长提供了解决方案。在一个为 AI 发现漏洞所引发的"补丁末日"做准备的行业中,自动化持续合规成为唯一可规模化的应对方式。
统一的自主端点管理平台方法
Ivanti Neurons 平台通过将统一的智能体 AI 与全面的平台数据(生命周期状态、设备清单、授权权限、支持历史和资产关系)融合,实现自主端点管理。这种现代化方法将碎片化的洞察转化为大规模的自主、上下文感知修复。
可信上下文:AI 驱动的工作流以准确、权威的上下文运行,这是在复杂环境中做出可靠决策所必需的。
受治理的自动化:内置策略引擎确保自主操作保持在既定的组织约束范围内。自动化加速响应,同时不牺牲控制、合规或可审计性。
统一可见性:统一的仪表板消除了工具蔓延和数据碎片化。当每个修复系统都基于相同的权威清单和漏洞情报运行时,整个组织的优先级排序一致性得以提升。
建议与前进路径
仅靠人力无法扩展以匹配 AI 加速的威胁。传统补丁管理在威胁以人类速度移动时有效,但那个时代已经结束。明确的解决方案是自主端点管理。组织需要将端点从被动资产转变为自我保护智能体的智能系统,这些智能体能够发现威胁、评估实时风险,并在无需人工干预的情况下以机器速度修复漏洞。
Ivanti Neurons 等自主端点管理平台提供了手动流程无法规模化的三项关键能力:
- 全面的实时资产可见性(包括影子 IT、云工作负载和移动设备)。
- 将漏洞情报与组织暴露相结合的预测性、上下文感知风险优先级排序。
- 自主的、自愈的修复能力,在计划维护窗口之外部署关键补丁,同时通过闭环验证持续核实实际安装情况。
通过首先与 IT、安全和合规利益相关者共同定义您的补丁风险承受度,开始您的自主端点管理转型。接下来,记录哪些漏洞类别需要立即自动化行动,哪些适合计划维护。然后,您就可以为最关键的 10-20% 资产部署具有持续合规能力的 Ivanti Neurons for Patch Management:面向互联网的系统、特权账户和受监管的敏感基础设施。最后,建立以结果为基础的指标,衡量已知被利用漏洞的修复时间、关键资产暴露窗口的缩减,以及已阻止的安全漏洞尝试——而不是已部署的补丁数量。
在这一新现实中决定谁能茁壮成长的问题,不是是否采用自主端点管理,而是组织能否在威胁速度与响应能力之间的差距变得不可逾越之前完成这一转型。
在补丁末日中求存
AI 没有破坏漏洞管理。它揭示了现有模型早已承压的薄弱之处。Mythos、OpenAI 等模型以及利用 AI 驱动漏洞发现的新兴市场进入者,已重新定义了威胁形势的节奏。
补丁末日并非不可避免——但仅靠补丁的安全策略必然失败。
成功完成这一转型的组织将:
- 定义明确的风险承受度,而非追求全面覆盖。
- 部署能够自动检测、决策和行动的自主端点管理平台。
- 通过已知被利用暴露的减少而非补丁部署数量来衡量成功。
未能完成转型的组织将面临:
- 随着监管机构要求更快响应,合规违规不断升级。
- 随着漏洞利用时间持续缩短,安全漏洞频率不断增加。
- 随着可利用漏洞的积累速度超过修复能力,技术债务持续增长。
- 当更具敏捷性的竞争对手将手动操作自动化时,企业自身处于战略劣势。
随着更多参与者部署 AI 辅助研究能力,漏洞现实差距将持续扩大。成功取决于组织能否在差距变得不可逾越之前完成转型。
路径清晰:向由自主端点管理驱动的自主、暴露主导安全演进,或继续依赖每天都越来越落后的手动防御措施。
关于 Ivanti
Ivanti 是一家全球企业 IT 和安全软件公司,致力于通过管理、自动化和保护数据及系统来释放人类潜能。Ivanti 产品的核心是人工智能驱动的 Ivanti Neurons 平台,它通过提供统一服务来转变 IT 和安全团队的运营方式,确保一致的可见性、可扩展性和安全实施。
如需了解更多关于 Ivanti Neurons for Patch Management 和持续合规能力的信息,请访问 www.ivanti.com/zh-cn。