在每个组织的风险管理策略中，虽然都有一套强大的安全技术发挥着重要作用，但实施智能且及时的修复方法仍然是组织保护其网络免受攻击者攻击的主要方法之一。修复漏洞可解决已知的安全漏洞，防止恶意行为者利用潜在漏洞未经授权访问公司数据或破坏运营。

然而，考虑到软件和应用程序开发人员发布补丁更新的频率，很容易让人无所适从。团队经常会纠结要实施哪些更新、何时实施以及应按什么顺序应用更新。

但是，如果您能够可靠地预测漏洞修复计划呢？虽然银弹不存在，但我们仍然可以使用一些最新的威胁洞察来帮助指导您的策略并更好地保护您的组织。

即使制定了补丁管理策略，许多企业仍然发现很难在发现漏洞后立即对其进行修复，而黑客很快就会利用这种情况。在决定首先修复哪些漏洞并保护系统安全时，制定可靠的计划至关重要。

与此同时，从业者可以利用虚拟补丁等保护措施——添加一个安全层来分析传入流量是否存在恶意活动——同时等待实际补丁的应用。尽管在制定优先级列表时应考虑到每个平台，但这仅能帮助确定哪些公开漏洞最有可能很快受到攻击。好消息是，您可以使用其他工具来确定修复工作的优先级。

用户终端侧披露的常见漏洞CVE与攻击者针对攻击目标实际利用的CVE，两者之间是什么关系？这其中会受到许多变量的影响，例如组织的漏洞管理实践，或是攻击者不断迭代的工具。

为了帮助安全从业人员更好地确定漏洞修复的优先级，FortiGuard 实验室团队在之前的威胁态势报告中引入了“红色区域”概念。红色区域是一种即时评估方法，它将端点上观察到的CVE数据与实际受到攻击的CVE进行比较。通过它，安全从业人员可以了解潜在攻击者利用特定漏洞的可能性（或可能性）。

例如，在我们最新的威胁态势报告中，我们对此进行了分析，确认2023年上半年超过14,000个已知CVE中只有8.3%落入“红色区域”。尽管该数字表明仍然有相当数量的漏洞需要安全从业人员解决，但了解红色区域可以帮助团队确定漏洞修复工作中哪些属于最高优先级。

使用漏洞利用预测评分系统(EPSS) 可以在很大程度上预测到需要注意的漏洞。EPSS是一个开放的、数据驱动的项目，用于确定攻击者在野外使用软件漏洞的可能性。通过使用现有的CVSS评分，该项目旨在帮助网络防御者更好地确定漏洞缓解操作的优先级。

EPSS使用CVE数据库中的当前威胁信息以及来自现实世界漏洞的数据来进行预测。EPSS生成的概率分数范围为0到1（0%到100%）。分数越高，漏洞在未来 30 天内被利用的可能性就越大。

例如，2023 年 5 月 31 日，MOVEit Transfer Web 应用程序被披露包含一个 SQL 注入0day 漏洞，该漏洞可能允许未经身份验证的攻击者修改或删除数据库引擎中的数据。安全专家将此漏洞标记为值得关注的漏洞。CVE 发布后，EPSS 预测在接下来的 30 天内被利用的可能性非常高。

毫不奇怪，网络犯罪分子很快就采取了行动。发现漏洞仅五天后， FortiGuard 实验室就检测到攻击者利用 MOVEit 漏洞的行为。在这种情况下，EPSS 作为第三方确认了我们分析师的预测，并帮助我们始终先于潜在威胁，掌握主动。

除了使用EPSS来帮助确定修复工作的优先级，漏洞管理团队还可以使用它来协助情报工作，以监控漏洞从最初披露到开始利用的整个过程。即将EPSS数据纳入您的漏洞管理策略中，作为预警系统。

漏洞修复是每个安全从业人员本就已经很长的待办事项清单上的一项关键任务。为了在保证组织机构安全的同时简化流程，团队应该利用红色区域及EPSS 等工具。这些产品提供了一幅有价值的图景，表明组织在保护其攻击面和优先考虑修复工作时应重点关注何处，从而节省从业者的时间和精力，避免陷入 CVE 的无底洞。

* 本文为晨雨编译，原文地址：https://www.securityweek.com/how-to-predict-your-patching-priorities/
图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。