执行摘要
漏洞管理正处于临界点。Anthropic的Claude Mythos、OpenAI的新ChatGPT模型以及新兴竞争对手等AI模型已将漏洞发现从受限的专家驱动流程转变为以机器速度运行的工业化能力。Mythos是目前同时加速供应商、研究人员和威胁行为者威胁发现的众多此类模型之一。
这是一个永久性的转变。发现以机器速度进行,而修复仍受人类能力的约束。安全领导者将此称为补丁末日——漏洞规模、速度和可利用性超过传统补丁修复方法的时刻。
新的威胁格局
- CVE披露已激增至每年超过45,000个,是历史基线的三倍——这是AI驱动的自动化漏洞发现的直接结果
- 利用时间已缩短至平均5天,被AI驱动的补丁逆向工程和自动化漏洞利用生成所压缩
- 尽管有关零日漏洞的头条新闻,但已知漏洞(N-day)导致了大多数实际违规
- Google Chrome等主要供应商已转向每周发布补丁。随着更多供应商采用持续发布周期,传统的月度维护窗口无法跟上步伐
- 受监管的组织面临着越来越大的压力,要求更快地响应,而不管内部时间表如何
组织必须从反应性补丁管理方法转向能够实时评估风险的持续暴露管理框架。像Ivanti Neurons这样的平台通过自主端点管理(AEM)提供此功能——自动定义您的补丁风险偏好,持续监控当前态势并基于风险进行修复。
补丁末日:结构性危机,而非卫生问题
多年来,补丁修复工作运行良好。每个月您都会识别漏洞,按严重性排序,部署修复并重复。当漏洞发现以人类速度进行,攻击者在将缺陷转化为利用时面临摩擦时,这个模型是有效的。
那个现实已经结束了。
AI没有破坏漏洞管理——它揭示了它已经破碎的地方。组织现在面临补丁末日——不是因为卫生不良或投资不足,而是因为机器速度发现与仍在预定修复周期中工作的人类团队发生碰撞。
加速危机的三股汇聚力量
CVE数量与风险脱钩: 仅在2025年,就发布了近48,000个CVE。但CVE数量不等于风险。庞大的漏洞数量压倒了传统的基于严重性的优先级排序,导致分析瘫痪。AI模型现在发现了数千个以前未知的漏洞,包括经过数十年审查仍存活的零日漏洞。只有不到1%被足够快地修补,CVE基础设施无法吸收输出量。
零日漏洞稳定在升高的基线: 零日利用现在在显著高于历史规范的基线上运行。像Mythos这样的AI模型展示了这种差异。传统方法产生2个可用的Firefox漏洞利用,而AI辅助方法生成了181个——成功率提高90倍。这一转变已将零日从战略性国家资产转变为受计算可用性而非专业知识约束的工业投入。
已知漏洞(N-day)导致大多数违规: 尽管媒体关注零日漏洞,但n-day漏洞导致了大多数现实世界的违规。利用时间已崩溃。AI模型擅长逆向工程补丁和代码差异,几乎立即将披露的CVE转化为可靠的利用。攻击者将零日保留用于战略性进入;n-day推动批量操作。
为什么传统的以补丁为中心的模型在规模上失败
组织必须从传统的补丁周期和基于严重性的优先级排序过渡到持续暴露管理,其中基于AEM的补丁管理提供匹配机器速度威胁所需的集成修复能力。
新的运营现实
补丁频率增加: Google Chrome等主要供应商已转向每周发布补丁,预计会有更多供应商跟随这一节奏。这一转变代表了与月度补丁星期二模型的根本性决裂。AI驱动的发现将推动更频繁的更新,强调需要定期进行补丁修复而不是按月或按季度批量进行。针对被利用漏洞的软件发布通常发生在组织维护计划之外。
缩短的响应窗口: 响应窗口正在急剧缩小。随着CVE发现率加速,披露和主动利用之间的时间持续压缩。正如Ivanti的VP、产品管理、端点安全的Chris Goettl所指出的:"许多组织目前在努力跟上解决被利用漏洞的优先更新,当这些更新发生在其正常月度维护之外时。"
为什么仅补丁安全无法扩展
月度维护窗口、基于严重性的优先级排序、严重依赖ITIL的批准流程和手动分类共享一个致命缺陷:它们随人力努力线性扩展,而威胁随计算可用性指数扩展。
持续交付困境: 当关键漏洞在维护窗口之间出现时,组织面临不可能的选择。当"紧急"补丁成为每周事件时,既不能进行紧急补丁修复,也不能接受临时风险。
严重性评分的虚假信号: CVSS分数衡量理论影响,而不是实际风险。团队经常优先处理没有已知利用的"关键"漏洞,而不是在野外被积极利用的"中等"缺陷——尽管后者才是导致实际违规的原因。
资产可见性差距: 许多组织缺乏对部署了哪些软件版本以及部署位置的全面实时可见性。没有这个基础数据层,基于风险的优先级排序变得不可能——安全团队无法优先修补他们不知道存在的资产。
基于暴露的补丁管理框架
重新定义网络风险
未来需要重新定义组织如何概念化安全风险。网络风险的单位不再是漏洞本身,而是可利用性和暴露窗口的缩短。
四个原则指导这一转变:
- 假设利用压力始终存在: 未知缺陷是确定的。与其对每次披露做出反应,不如设计假设存在未修补漏洞并将被发现的环境
- 优先考虑可以使用的,而不仅仅是存在的: 可利用性胜过严重性。风险源于技术影响、利用可用性和资产暴露的交集。传统的严重性评分仅考虑第一个因素
- 衡量结果,而不是输出: 关注暴露减少,而不是应用的补丁。以结果为导向的指标包括已知被利用漏洞的修复时间以及具有可利用暴露的关键资产的百分比
使用AEM构建基于暴露的补丁管理框架
组织不能仅通过心态改变来实现基于暴露的补丁管理——成功需要自主端点管理(AEM)作为集成修复层,将风险意识转化为自动化行动:
定义风险偏好: 组织必须明确指定哪些漏洞类别、资产类型和利用场景需要立即修复而不是计划维护。基础建立在记录的、经过执行层批准的风险偏好声明上,该声明定义了可接受的风险阈值。这转化为自动化决策逻辑而不是临时人类判断。
监控风险态势: 风险态势代表任何时刻的实际安全状态——当前状态与期望风险偏好之间的实时增量。组织可以追踪"暴露于活跃利用的关键资产百分比"和"违反风险偏好的时间",而不是测量"已部署的补丁"。
使用AEM自动化基于风险的部署: 将风险态势差距转换为自动化工作流需要按风险部署——根据资产关键性、暴露和利用可用性而不是供应商严重性评分来优先处理补丁。自主端点管理(AEM)平台通过将全面的资产可见性与能够以机器速度行动的智能自动化相结合来实现这一点。当资产偏离风险偏好合规性时,AEM驱动的修复会自动发生。常规维护周期成为基线,风险驱动的自动化处理紧急并行更新以维持持续合规。
解决方案:用于补丁管理的Ivanti Neurons
应对这些挑战需要从反应性、手动补丁管理向自主、风险驱动的修复能力进行根本性转变。Ivanti Neurons for Patch Management通过专门为AI驱动威胁格局构建的集成自主端点管理平台提供这种转型。
针对AI加速威胁的自主能力
Ivanti Neurons是一个统一的自主端点管理(AEM)平台,专门针对AI驱动威胁格局中的自主IT和安全操作而架构。正如Ivanti首席执行官Dennis Kozak所解释的:"组织需要的系统不仅能够检测问题,而且具有安全且大规模决策和行动的能力。"
持续合规:消除补丁差距
Ivanti Neurons for Patch Management引入了持续合规,这是一个自动化执行框架,消除了计划部署与监管要求之间的差距。
优先修复: 自动识别不合规端点并与计划窗口并行部署补丁。当资产错过计划部署时——无论是离线、网络问题还是暂时性故障——持续合规确保修复在可用时立即发生,而不是等待下一个周期。
自动化合规验证: 自动化合规验证验证实际的补丁安装和配置状态,而不是假设部署成功。这种闭环验证确保合规跟踪反映现实而不是部署意图。
基于风险的优先级排序: 与漏洞情报的集成使关键漏洞能够自动升级到立即修复。当CVE从披露转变为被主动利用时,易受攻击的资产自动获得优先修复,无需等待人工重新分类。
这个自动化框架为团队提供了有效响应补丁需求增加的解决方案。在一个为AI发现的漏洞引起的"补丁末日"做准备的行业中,自动化持续合规成为唯一可扩展的响应。
统一的AEM平台方法
Ivanti Neurons平台通过融合统一的代理AI与全面的平台数据——生命周期状态、设备清单、权限授权、支持历史和资产关系——提供自主端点管理(AEM)。这种现代方法将碎片化的洞察转化为大规模的自主、上下文感知修复。
可信上下文: AI驱动的工作流使用准确、权威的上下文运行,这是在复杂环境中做出可靠决策所必需的。
治理自动化: 内置策略引擎确保自主操作保持在定义的组织约束内。自动化加速响应,而不牺牲控制、合规或可审计性。
统一可见性: 统一仪表板消除了工具蔓延和数据碎片化。当每个修复系统都从相同的权威清单和漏洞情报运行时,优先级排序的一致性在整个组织中得到改善。
建议和前进之路
仅靠人力努力无法扩展以匹配AI加速的威胁。当威胁以人类速度移动时,传统补丁管理是有效的,但那个时代已经结束。明确的解决方案是自主端点管理(AEM)。组织需要智能系统,将端点从被动资产转变为能够发现威胁、实时评估风险并以机器速度修复漏洞而无需人工干预的自我保护代理。
像Ivanti Neurons这样的AEM平台提供手动流程无法扩展的三个关键能力:
- 通用实时资产可见性(包括影子IT、云工作负载和移动设备)
- 将漏洞情报与组织暴露相结合的预测性、上下文感知风险优先级排序
- 自主、自我修复的修复,在计划维护窗口之外部署关键补丁,同时通过闭环验证持续验证实际安装
首先与IT、安全和合规利益相关者定义您的补丁风险偏好,开始您的AEM过渡。接下来,记录哪些漏洞类别需要立即自动化行动而不是计划维护。然后,您就可以为最关键的10-20%资产部署具有持续合规能力的Ivanti Neurons for Patch Management:面向互联网的系统、特权账户和监管敏感基础设施。最后,建立基于结果的指标,衡量已知被利用漏洞的修复时间、关键资产的暴露窗口减少和防止的违规尝试——而不是已部署的补丁。
决定谁将在这个新现实中繁荣的问题不是是否采用AEM,而是组织能否在威胁速度与响应能力之间的差距变得不可逾越之前完成这一过渡。
在补丁末日中生存
AI没有破坏漏洞管理。它揭示了现有模型已经处于紧张状态的地方。Mythos、OpenAI和使用AI驱动漏洞发现的新兴市场参与者等模型重新定义了威胁格局的节奏。
补丁末日并非不可避免——但仅补丁安全的失败是不可避免的。
成功驾驭这一过渡的组织将:
- 定义明确的风险偏好,而不是尝试通用覆盖
- 部署自动检测、决策和行动的自主AEM平台
- 通过减少已知被利用的暴露而不是补丁部署计数来衡量成功
未能转型的组织将经历:
- 随着监管机构要求更快响应,合规违规不断升级
- 随着利用时间继续缩短,违规频率不断增加
- 随着可利用漏洞的积累速度快于修复能力,技术债务不断增长
- 当更敏捷的竞争对手自动化他们试图手动完成的事情时,战略劣势
随着更多参与者部署AI辅助研究能力,漏洞现实差距将扩大。成功取决于组织能多快完成过渡,在差距变得不可逾越之前。
道路是明确的:向由AEM驱动的自主、暴露主导的安全演进,或继续依赖每天进一步落后的手动防御努力。
关于Ivanti
Ivanti是一家全球企业IT和安全软件公司,致力于通过管理、自动化和保护数据和系统来释放人类潜力。Ivanti产品的核心是AI驱动的Ivanti Neurons平台,它通过提供统一服务来转变IT和安全团队的运营方式,确保一致的可见性、可扩展性和安全实施。
有关Ivanti Neurons for Patch Management和持续合规能力的更多信息,请访问www.ivanti.com/zh-cn。