F5 改做每月出資安更新:AI 令低中危漏洞都要快手補,企業 IT 要跟上
Tech News

F5 改做每月出資安更新:AI 令低中危漏洞都要快手補,企業 IT 要跟上

圖片:via iThome — https://www.ithome.com.tw/news/177197
TechLab 編輯部(譯)·

BIG-IP、NGINX 用戶要預留每月維護窗口

F5 由季度變每月,因為 patch window 縮短咗

F5 今次唔只改公告日曆。官方話,7 月 15 日起會喺每月第三個星期三推出 Hardened Software Release,8 月 19 日會出第一份 Monthly Security Notification,講返前一個月修咗咩漏洞。iThome 報道提到,Oracle 近期亦用每月 Critical Security Patch Update 補季度 CPU;放埋一齊睇,企業軟件供應商開始承認,季度節奏慢過攻擊者同 AI 掃描速度。

F5 官方 blog 配圖,講每月安全發布節奏

圖片:F5

點解低危漏洞都唔可以拖

F5 Chief Product Officer Kunal Anand 嘅講法好直接:最新 AI 模型搵漏洞快咗,仲可以幫手理解利用路徑。呢度要收窄講,F5 冇話 AI 今日可以自動打穿 BIG-IP;佢講緊嘅係攻擊者日後可以快手搵到一堆低中危位,再串成一條有用嘅路。以前 IT team 可能先補 critical,medium 留到季度維護;而家呢個做法風險高咗,因為每個小裂口都有機會變成 exploit chain 嘅材料。

BIG-IP / NGINX 點解值得理

BIG-IP 同 NGINX 企喺好多網站、API、內部 app 前面,做 load balancing、traffic management、WAF、API gateway、access policy 呢啲工夫。F5 自己嘅產品頁都係咁定位:唔只送流量,仲管安全同可用性。呢類設備一出事,影響通常唔係一部 server 壞咁簡單,而係入口層、管理面、API 保護、SSL/TLS 流量處理一齊牽涉。SecurityWeek 早前報道,F5 5 月季度通知一次過處理過 50 多個 BIG-IP、BIG-IQ、NGINX 相關漏洞,呢個量級已經夠說明 patch backlog 唔細。

F5 遲一個月先講細節,有好有壞

有趣位係,F5 唔會即日公開每個 fix 嘅細節。佢會先放 hardened release,隔一個月先喺安全通知講前一個月補過咩;如果係緊急漏洞,先另出 security alert。呢個做法講得通,因為太快公開細節,攻擊者可能會即刻跟住搵位打。但係對客戶嚟講,少咗細節就代表 patch decision 唔可以再靠 CVSS 分數先慢慢排,差唔多每個 hardened release 都要當高優先次序處理。

IT team 要改嘅唔止係 calendar

辛苦位落喺維護流程本身:每月多一封 email 反而小事,版本盤點、測試、rollback 同維護窗口先至耗人手。用緊 F5 嘅公司,第一步係盤點 BIG-IP、BIG-IQ、F5OS、NGINX 版本同 exposure,特別係 management interface 有冇喺唔應該出現嘅網段曝光。跟住要預留每月 maintenance window,最好用 Ansible 或者 automation 做 staging、backup、rollback 同 health check。中小企、電商、SaaS、學校同機構 IT team 最易卡喺「冇人手測更新」呢關,但呢次變化其實迫大家面對一件事:季度 patch 已經唔夠貼身。

供應商快咗,客戶都要跟上

F5 今次改法,至少講清楚咗一件事:AI 幫到防守者搵洞,攻擊者一樣會用。問題係供應商可以每月出 fix,客戶未必每月有勇氣上 production。下一步要睇 F5 嘅 hardened release 會唔會真係穩,release note 會畀到幾多可操作資料,仲有自動化升級工具追唔追得上。用開 F5 / NGINX 做入口層嘅 team,而家應該改 patch 節奏:由「等季度」變做「每月檢查、快測快上」。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook