隨著微軟在6月發布有史以來規模最大的補丁星期二更新,加之業界持續熱議AI與Anthropic旗下Claude Mythos模型的影響,美國自主補丁管理與端點保護領域的專業機構Action1發布了最新分析報告,警告稱漏洞數量的快速增長與安全格局的結構性變化,正在讓傳統的定期企業補丁修復策略愈發力不從心。
Action1發布的《2026年軟體漏洞評級報告》顯示,2025年(遠早於Claude Mythos問世之前),全年披露的漏洞總量與2024年相比激增92%,其中嚴重漏洞與權限提升(EoP)漏洞數量翻了一番,遠程代碼執行(RCE)漏洞數量更是上漲近130%。
Action1 指出,簡而言之,增速最快的恰恰是那些最容易將企業暴露於真實攻擊面前的漏洞類型,包括網路入侵、數據泄露及其他各類安全事故。
報告將上述趨勢定性為對企業安全領導者發出的"警示信號",同時指出威脅態勢正在發生更深層的轉變——攻擊者正以遠超人工安全團隊修復速度的節奏,快速利用新披露的漏洞,在某些情況下,留給企業的響應窗口已壓縮至數小時以內。
Action1漏洞研究總監傑克·比瑟表示:"2025年是網路安全運營的一個重要轉折點。攻擊者正在藉助AI與自動化手段,以大多數企業難以跟上的速度加速漏洞發現與利用。許多企業仍在按照人工排期打補丁,而攻擊者已在以機器的速度運轉。"
Action1聯合創始人兼首席執行官艾力克斯·沃夫克補充道:"威脅態勢已不僅僅是體量更大的問題,它變得更快、更自動化、更難被察覺。補丁修復速度不再只是IT層面的指標,它已經成為衡量企業業務韌性的核心標準。"
報告指出,那些依賴人工補丁流程、掃描周期不頻繁或維護窗口滯後的企業,在運營層面正面臨日益嚴峻的落差。
Action1 強調,當前迫切需要建立持續性的漏洞管理與修復工作流,以有效壓縮高頻攻擊目標的暴露窗口,涵蓋業務應用程式、網路基礎設施、作業系統及安全工具等各類關鍵資產。
報告作者寫道:"2025年的威脅環境在規模和速度上已清楚表明,任何仍依賴人工排期和手動部署的流程都將跟不上形勢。自動化不僅僅是提升效率的手段,它已成為企業生存的必要條件。"
漏洞識別與補丁修復的下一步行動
該報告包含多項針對安全領導者的行動建議。
作為首要任務,Action1建議首席資訊安全官(CISO)和安全領導者立即審計業務關鍵軟體的補丁修復速度。出於避免影響用戶使用的考慮而推遲業務應用及其他平台的補丁修復,如今已成為一項可量化的業務風險。補丁管理策略必須以威脅環境為導向,而不是遷就財務、人事或銷售團隊的便利性需求。
在此基礎上,最緊迫的優先事項是推動漏洞管理的自動化轉型。這一點對於處理敏感數據的機構尤為關鍵,例如教育和醫療機構,以及公共事業和電力供應商等關鍵服務運營商。
對於上述機構而言,能夠自動部署緊急更新、無需等待維護窗口,應當成為標準運營模式。此外,自動化還應進一步延伸至補丁測試、驗證與部署的全流程。
首席資訊安全官應基於組織自身的風險狀況對漏洞進行優先級排序,綜合利用通用漏洞評分系統(CVSS)評級和已知漏洞利用情況等權威指標,並將威脅情報整合其中。與此同時,應將按嚴重程度分級的平均修復時間(MTTR)設定為核心考核基準。
不過,低風險漏洞並非就此可以忽視。報告指出,安全領導者還需更新漏洞優先級評估模型,將攻擊鏈場景納入考量——攻擊者可能將多個低危漏洞組合利用,形成危害更大的攻擊,進而實現權限提升或橫向移動。Action1 建議重新審視針對低危漏洞的補丁服務等級協議(SLA),評估現行修復時間表是否依然適用。
Q&A
Q1:2025年企業面臨的漏洞威脅形勢究竟有多嚴峻?
A:根據Action1《2026年軟體漏洞評級報告》,2025年全年披露的漏洞總量與2024年相比激增92%,嚴重漏洞與權限提升漏洞數量翻倍,遠程代碼執行漏洞增幅更接近130%。增速最快的恰恰是最容易造成實際攻擊後果的漏洞類型,攻擊者已能在數小時內完成漏洞利用,而傳統的人工修複流程遠遠無法匹配這一速度。
Q2:為什麼傳統的定期補丁管理策略已經失效?
A:傳統補丁策略依賴人工排期和固定維護窗口,在漏洞數量和攻擊速度雙雙大幅提升的背景下,這種模式已明顯滯後。攻擊者藉助AI與自動化工具能夠迅速利用新披露的漏洞,而等待人工審批和維護窗口的修複流程往往需要數天甚至數周,這期間企業始終處於暴露狀態,面臨極高的安全風險。
Q3:Action1建議企業如何應對當前的漏洞修復挑戰?
A:Action1建議企業從以下幾個方面入手:首先審計業務關鍵軟體的實際修復速度;其次推動漏洞管理全流程自動化,包括測試、驗證與部署;同時整合威脅情報,基於CVSS評分和已知漏洞利用情況進行風險優先級排序;此外還需將平均修復時間(MTTR)設為核心考核指標,並重新評估低危漏洞的修復時限安排。
