7月23日，Gartner發(fā)布《Hype Cycle for Security Operations, 2021》（2021安全運(yùn)營技術(shù)成熟度曲線），對主流的安全運(yùn)營技術(shù)進(jìn)行了解讀，預(yù)測創(chuàng)新技術(shù)的發(fā)展階段，為組織的安全和風(fēng)險(xiǎn)管理負(fù)責(zé)人提供參考，并幫助其更有效的制定組織的網(wǎng)絡(luò)安全發(fā)展策略。相較于2020年，數(shù)字化轉(zhuǎn)型加速了企業(yè)與IT信息技術(shù)的關(guān)聯(lián)。由于疫情，遠(yuǎn)程工作、移動(dòng)設(shè)備的使用和云服務(wù)顯著增加，促使企業(yè)運(yùn)作方式的重大變革，但也同時(shí)給企業(yè)帶來了更多的安全威脅和風(fēng)險(xiǎn)，因此安全運(yùn)營技術(shù)已經(jīng)成為了企業(yè)關(guān)注的重點(diǎn)方向。

　　成熟度曲線&優(yōu)先級(jí)矩陣

　　技術(shù)成熟度曲線（The Hype Cycle），又稱技術(shù)循環(huán)曲線，指的是企業(yè)用來評估新科技的可見度，利用時(shí)間軸與市面上的可見度，決定是否采用新科技的一種工具。1995年開始，Gartner依其專業(yè)分析預(yù)測與推論各種新科技的成熟演變速度及要達(dá)到成熟所需的時(shí)間，具體可分為：技術(shù)萌芽期、期望膨脹期、泡沫破裂谷底期、穩(wěn)步爬升復(fù)蘇期、生產(chǎn)成熟期5個(gè)階段。在2021年報(bào)告中，萌芽階段包括自主滲透測試和紅隊(duì)服務(wù)、外部攻擊面管理（EASM）、網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CASSM）、滲透測試即服務(wù)（PTaaS）、擴(kuò)展檢測和響應(yīng)（XDR）技術(shù)；膨脹階段包括數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)（DRPS）、漏洞優(yōu)先排序（VPT）、文件分析技術(shù)（FA）、托管檢測和響應(yīng) （MDR） 服務(wù)、威脅情報(bào)（TI）服務(wù)、網(wǎng)絡(luò)威脅檢測及響應(yīng)（NDR）、 運(yùn)營系統(tǒng)（OT）安全技術(shù)；破裂階段包括集成化的風(fēng)險(xiǎn)管理（IRM）、安全編排自動(dòng)化響應(yīng)（SOAR）、欺騙平臺(tái)（DP）、入侵與攻擊模擬（BAS）技術(shù)；復(fù)蘇期包括端點(diǎn)檢測與響應(yīng)技術(shù)（EDR）、基于硬件的安全技術(shù)、安全信息和事件管理（SIEM）、云訪問安全代理（CASB）技術(shù)；成熟期包括漏洞評估技術(shù)（VA）技術(shù)。

　　圖1  2021年安全運(yùn)營成熟度技術(shù)曲線

　?。ㄗⅲ簷M軸為“時(shí)間”，表示一項(xiàng)技術(shù)隨時(shí)間發(fā)展經(jīng)歷各個(gè)階段，縱軸是“預(yù)期”。）

　　表1：2021年安全行動(dòng)的優(yōu)先權(quán)矩陣

　　（注：在優(yōu)先級(jí)矩陣中，縱軸為技術(shù)的潛在效益；橫軸是按照距成熟采用期年數(shù)劃分計(jì)劃的，該年數(shù)與技術(shù)成熟度曲線上所用的評估相同。）

　　本文著眼于安全運(yùn)營技術(shù)成熟度曲線的前兩個(gè)階段，從20多個(gè)技術(shù)點(diǎn)中，節(jié)選了歸屬萌芽期的外部攻擊面管理（EASM）、網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CASSM）技術(shù)和擴(kuò)展檢測和響應(yīng)（XDR）技術(shù)與歸屬膨脹期的入侵與攻擊模擬（BAS）漏洞優(yōu)先排序技術(shù)（VPT）5個(gè)新興技術(shù)點(diǎn)進(jìn)行了解析。

　　1

　　外部攻擊面管理（EASM）

　　定義

　　外部攻擊面管理（EASM）是指為發(fā)現(xiàn)面向互聯(lián)網(wǎng)的企業(yè)資產(chǎn)和系統(tǒng)及相關(guān)漏洞而部署的流程、技術(shù)和管理服務(wù)。示例包括服務(wù)器、憑證、公共云服務(wù)的錯(cuò)誤配置和第三方合作伙伴的軟件代碼漏洞，這些漏洞可能會(huì)被對手利用。

　　關(guān)注原因

　　雖然EASM通過產(chǎn)品疊加提供數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)（DRPS）、威脅情報(bào)、第三方風(fēng)險(xiǎn)評估和漏洞評估等能力，但供應(yīng)商提供的能力方向各有不同，需要重點(diǎn)關(guān)注市場需求，并在全球范圍內(nèi)進(jìn)行擴(kuò)張。

　　五個(gè)重要能力

　　監(jiān)測：持續(xù)掃描各種環(huán)境（如云服務(wù)和面向外部的企業(yè)內(nèi)部基礎(chǔ)設(shè)施）和分布式生態(tài)系統(tǒng)（如物聯(lián)網(wǎng)基礎(chǔ)設(shè)施）；

　　資產(chǎn)發(fā)現(xiàn)：發(fā)現(xiàn)和清點(diǎn)企業(yè)未知的面向外部的資產(chǎn)和系統(tǒng)；

　　分析：評估和分析資產(chǎn)屬性，確定資產(chǎn)是否存在風(fēng)險(xiǎn)、脆弱性或異常行為；

　　優(yōu)先排序：對風(fēng)險(xiǎn)和漏洞進(jìn)行優(yōu)先排序，并根據(jù)優(yōu)先排序分析提供預(yù)警和優(yōu)先級(jí)分析；

　　修復(fù)：提供優(yōu)先緩解措施的實(shí)施計(jì)劃，以及修復(fù)緩解工作流程，并集成像工單系統(tǒng)、事件響應(yīng)工具、安全編排自動(dòng)化響應(yīng)（SOAR）等解決方案。

　　EASM幫助識(shí)別未知資產(chǎn)，并提供系統(tǒng)、云服務(wù)和應(yīng)用程序等對攻擊者/在公共領(lǐng)域內(nèi)攻擊者可用和可見的信息。

　　業(yè)務(wù)影響

　　EASM支持企業(yè)識(shí)別來已知和未知的面向互聯(lián)網(wǎng)的資產(chǎn)和系統(tǒng)的風(fēng)險(xiǎn)。安全領(lǐng)導(dǎo)可以使用EASM的功能來了解和管理來自其數(shù)字業(yè)務(wù)的風(fēng)險(xiǎn)，因?yàn)樗峁┝藢氋F的背景信息和可操作的信息。

　　資產(chǎn)的識(shí)別及清點(diǎn)：識(shí)別未知的數(shù)字資產(chǎn)（如網(wǎng)站、IP、域名、SSL證書和云服務(wù)），并實(shí)時(shí)維護(hù)資產(chǎn)列表。這種可見性也可以擴(kuò)展到企業(yè)的子公司或第三方。

　　漏洞修復(fù)及暴露面管控：將錯(cuò)誤配置、開放端口和未修復(fù)漏洞根據(jù)緊急程度、嚴(yán)重性來進(jìn)行風(fēng)險(xiǎn)等級(jí)分析以確定修復(fù)優(yōu)先次序。

　　驅(qū)動(dòng)因素

　　數(shù)字化業(yè)務(wù)舉措：如轉(zhuǎn)向云基礎(chǔ)設(shè)施和平臺(tái)服務(wù)以及SaaS，遠(yuǎn)程工作，采用物聯(lián)網(wǎng)（IoT）技術(shù)，以及IT和運(yùn)營系統(tǒng)（OT）融合，是目前出現(xiàn)新安全要求的一些關(guān)鍵領(lǐng)域；

　　在這些情況下，EASM工具正在被廣泛應(yīng)用；

　　這些工具幫助安全專業(yè)人員了解并減少對互聯(lián)網(wǎng)和公共領(lǐng)域的不必要的暴露風(fēng)險(xiǎn)，以優(yōu)先考慮需要補(bǔ)救的關(guān)鍵暴露面。

　　阻礙因素

　　安全和風(fēng)險(xiǎn)管理的領(lǐng)導(dǎo)者應(yīng)該意識(shí)到，隨著EASM受益于擴(kuò)大的可見性，在中短期并購中存在著切實(shí)的風(fēng)險(xiǎn)，這可能會(huì)影響到初創(chuàng)公司對該領(lǐng)域的投資；

　　為了充分受益于EASM解決方案的能力，安全和風(fēng)險(xiǎn)管理（SRM）領(lǐng)導(dǎo)者將被要求能夠在多個(gè)領(lǐng)域（如IT資產(chǎn)管理、云管理、漏洞管理等）利用它們，而不僅僅是安全，并具有一定程度的成熟度和資源，如專用或?qū)I(yè)人員。

　　建議

　　審查工具供應(yīng)商的EASM能力，如DRPS或漏洞評估；

　　審查供應(yīng)商的能力，如覆蓋范圍（識(shí)別）、準(zhǔn)確性（歸屬）和支持修復(fù)的自動(dòng)化水平；

　　根據(jù)公認(rèn)的用例優(yōu)先級(jí)選擇EASM服務(wù)提供商，但也要為可能延伸到DRPS用例的長期要求進(jìn)行規(guī)劃；

　　評估安全組織在技能、資源和成熟度方面的準(zhǔn)備程度，確保擁有適當(dāng)?shù)馁Y源以充分受益于EASM能力。

　　2

　　網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CASSM）

　　定義

　　網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）是一項(xiàng)新興技術(shù)，專注于幫助安全團(tuán)隊(duì)解決持續(xù)的資產(chǎn)可見性和漏洞挑戰(zhàn)。使企業(yè)能夠通過與現(xiàn)有工具的API集成，識(shí)別內(nèi)外部資產(chǎn)，查詢綜合數(shù)據(jù)，確定漏洞的范圍與安全控制的差距，并進(jìn)行修復(fù)。

　　關(guān)注原因

　　CAASM超越了專注于資產(chǎn)子集（如端點(diǎn)、服務(wù)器、設(shè)備或應(yīng)用程序）產(chǎn)品的有限范圍。通過將資源整合到資源庫，使用戶可以查詢到EASM和端點(diǎn)檢測與響應(yīng)（EDR）工具的覆蓋范圍的差距。CAASM通過使用應(yīng)用程序編程接口（API）集成提供被動(dòng)的數(shù)據(jù)收集，取代手動(dòng)和低效的過程來收集和分析資產(chǎn)信息。

　　業(yè)務(wù)影響

　　CAASM使安全團(tuán)隊(duì)能夠通過整體環(huán)境的安全控制、安全態(tài)勢和資產(chǎn)風(fēng)險(xiǎn)的修復(fù)和處置來改善基本的安全狀況。部署CAASM的企業(yè)可以減少對自身系統(tǒng)和手動(dòng)收集過程的依賴，并通過手動(dòng)或自動(dòng)化流程修復(fù)漏洞。此外，這些可以直觀地看到安全工具的覆蓋情況，并糾正修復(fù)陳舊或缺失數(shù)據(jù)的原始記錄系統(tǒng)。

　　驅(qū)動(dòng)因素

　　提高資產(chǎn)可見性，了解攻擊面和現(xiàn)有的安全控制的差距；

　　通過更準(zhǔn)確和全面的資產(chǎn)和安全控制報(bào)告，快速的審計(jì)合規(guī)性報(bào)告；

　　整合現(xiàn)有產(chǎn)品資產(chǎn)信息，減少手動(dòng)流程和本地應(yīng)用程序的依賴；

　　授權(quán)企業(yè)架構(gòu)師、漏洞管理團(tuán)隊(duì)和IT管理員等團(tuán)隊(duì)訪問綜合資產(chǎn)視圖，從查看和查詢綜合資產(chǎn)清單中受益；

　　降低收集數(shù)據(jù)的阻力，獲取數(shù)據(jù)安全可視性（從影子IT、已安裝的第三方系統(tǒng)等）。

　　阻礙因素

　　對 “另一個(gè)”工具的抵制，擁有提供資產(chǎn)可視性產(chǎn)品的企業(yè)面臨挑戰(zhàn)，難以證明增加CAASM的成本和理由；

　　產(chǎn)品按資產(chǎn)數(shù)量進(jìn)行授權(quán)，對于管理著數(shù)百萬資產(chǎn)的大型機(jī)構(gòu)來說，成本過高；

　　單個(gè)實(shí)例的可擴(kuò)展性可能會(huì)受到限制，無論是數(shù)據(jù)收集還是工具的可用性，都有過多的數(shù)據(jù)點(diǎn)；

　　缺乏CAASM集成的工具（例如，缺乏API），擁有現(xiàn)有工具的團(tuán)隊(duì)會(huì)阻礙能力集成。

　　發(fā)現(xiàn)錯(cuò)誤時(shí)不允許對原始記錄系統(tǒng)進(jìn)行糾正，與原始系統(tǒng)相沖突的調(diào)節(jié)過程會(huì)出現(xiàn)混亂。

　　建議

　　利用 POC或在購買產(chǎn)品前試用免費(fèi)版本。產(chǎn)品易于部署，從而降低了購買 CAASM 產(chǎn)品然后需要將其淘汰或更換為其他供應(yīng)商的風(fēng)險(xiǎn)。

　　確定需要CAASM解決的主要用例，如實(shí)現(xiàn)更全面的資產(chǎn)可視性、自動(dòng)修復(fù)安全漏洞、更新記錄或減輕合規(guī)報(bào)告的負(fù)擔(dān)；

　　盤點(diǎn)可與CAASM產(chǎn)品集成的可用API，并確保有可用的賬戶進(jìn)行集成；

　　拓展使用范圍，從核心安全團(tuán)隊(duì)擴(kuò)展至多用戶（包括合規(guī)團(tuán)隊(duì)、威脅捕獵、漏洞管理團(tuán)隊(duì)和系統(tǒng)管理員）；

　　詢問現(xiàn)有的安全供應(yīng)商，了解他們目前提供的資產(chǎn)可見性，以及他們是否有在未來提供 CAASM 功能的路線圖。

　　3

　　擴(kuò)展檢測和響應(yīng)（XDR）

　　定義

　　XDR是一種針對供應(yīng)商的威脅檢測和事件響應(yīng)工具，它將多種安全產(chǎn)品統(tǒng)一到安全操作系統(tǒng)中。主要功能包括安全分析、關(guān)聯(lián)告警、事件響應(yīng)和響應(yīng)自動(dòng)化。

　　關(guān)注原因

　　XDR在功能上與SIEM以及SOAR相似。然而，XDR的區(qū)別在于其集成和自動(dòng)化程度、易用性以及對威脅檢測和事件響應(yīng)的關(guān)注。XDR解決方案供應(yīng)商還必須直接提供多種安全控制，如EDR、云訪問安全代理（CASB）、防火墻、身份識(shí)別與訪問管理（IAM）、入侵檢測系統(tǒng)（IDS）等。

　　業(yè)務(wù)影響

　　XDR產(chǎn)品可以降低管理安全事件的總成本，提高事件響應(yīng)團(tuán)隊(duì)的生產(chǎn)力，并降低組織的整體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)態(tài)勢。

　　驅(qū)動(dòng)因素

　　中型企業(yè)正在努力解決由不同安全組件產(chǎn)生的警報(bào)。雖然現(xiàn)有的SIEM和SOAR工具可以提供類似的功能，但這些工具的成本、復(fù)雜性和持續(xù)維護(hù)對中型企業(yè)來說都太高。集成和維護(hù)最佳安全工具組合所需的人員和技能太高。XDR工具主要由擁有基礎(chǔ)設(shè)施保護(hù)產(chǎn)品組合的安全解決方案供應(yīng)商銷售，如EDR、CASB、安全Web網(wǎng)關(guān)（SWG）、安全電子郵件網(wǎng)關(guān)（SEG）和網(wǎng)絡(luò)威脅檢測及響應(yīng)（NDR）。更高級(jí)的XDR工具通過與身份、數(shù)據(jù)保護(hù)和應(yīng)用訪問的整合，將重點(diǎn)放在了堆棧上，以保護(hù)和應(yīng)用訪問。

　　阻礙因素

　　只有一小部分供應(yīng)商能夠真正提供XDR產(chǎn)品。致力于XDR方法可能導(dǎo)致對單一供應(yīng)商的過度依賴。能夠提供XDR產(chǎn)品的大型供應(yīng)商在解決新威脅方面的執(zhí)行速度往往比最佳初創(chuàng)公司慢得多。所有的XDR工具都需要與其他供應(yīng)商的安全產(chǎn)品進(jìn)行一些整合，但大多數(shù)XDR產(chǎn)品的整合度仍然很低。安全產(chǎn)品的功效仍然是一個(gè)重要的因素，組合中的一些解決方案可能不如同類競爭產(chǎn)品有效。此外，還存在對XDR供應(yīng)商提供的威脅情報(bào)和檢測內(nèi)容的單一來源的潛在依賴性。XDR工具可降低但不能消除對操作員技能和7*24小時(shí)全天監(jiān)控的需求。XDR和SIEM產(chǎn)品之間的一個(gè)主要區(qū)別是：XDR不能滿足事件響應(yīng)以外用例的（如合規(guī)性或運(yùn)營）長期日志存儲(chǔ)需求。

　　建議

　　與利益相關(guān)者合作，評估XDR戰(zhàn)略合理性；

　　決策標(biāo)準(zhǔn)基于人員配置和生產(chǎn)力水平、IT的聯(lián)合水平、風(fēng)險(xiǎn)容忍度和安全預(yù)算，以及對單一供應(yīng)商綁定的容忍度，以及現(xiàn)有XDR組件工具的存在。

　　制定符合XDR戰(zhàn)略的內(nèi)部架構(gòu)和采購政策；

　　根據(jù)長期XDR架構(gòu)戰(zhàn)略來規(guī)劃未來的安全采購和技術(shù)迭代；

　　尋求提供 API 的安全產(chǎn)品廠商，以便與 XDR 進(jìn)行信息共享和自動(dòng)化。

　　4

　　入侵與攻擊模擬（BAS）

　　定義

　　入侵和攻擊模擬（BAS）技術(shù)使企業(yè)能夠持續(xù)不斷地模擬針對企業(yè)資產(chǎn)的多種攻擊載體。BAS可以測試威脅載體，如外部和內(nèi)部人員、橫向移動(dòng)和數(shù)據(jù)外傳泄漏。BAS的部署利用了軟件代理、虛擬機(jī)、云平臺(tái)和其他手段來運(yùn)行模擬。雖然有相似之處，但它不能完全取代紅隊(duì)服務(wù)或滲透測試。

　　關(guān)注原因

　　BAS市場正在增長，有兩個(gè)主要的用例：安全控制驗(yàn)證和安全態(tài)勢評估。BAS技術(shù)的主要優(yōu)勢包括提供連續(xù)和一致的安全控制測試的能力，以及在確定補(bǔ)救行動(dòng)的優(yōu)先次序以改善防御方面提供的幫助。

　　業(yè)務(wù)影響

　　BAS允許企業(yè)自動(dòng)運(yùn)行持續(xù)的安全評估，對企業(yè)資產(chǎn)的更大比例和更頻繁地進(jìn)行評估。BAS不斷增加新的威脅模擬，擴(kuò)大其功能的范圍和深度。

　　驅(qū)動(dòng)因素

　　BAS最常見的使用情況是自動(dòng)測試和評估公司的安全狀況。擁有成熟安全計(jì)劃的大型企業(yè)主要使用這些技術(shù)來確保一致的防御，并測試其現(xiàn)有安全控制的配置差距和/或缺少的安全可視性。

　　周度或者日度測試用于通知IT和業(yè)務(wù)利益相關(guān)者關(guān)于安全態(tài)勢中的現(xiàn)有差距，或驗(yàn)證安全基礎(chǔ)設(shè)施、配置設(shè)置和檢測/預(yù)防技術(shù)是否按預(yù)期運(yùn)行。當(dāng)作為紅隊(duì)或滲透測試演習(xí)的補(bǔ)充時(shí)，BAS也可用于驗(yàn)證安全操作中心的工作人員是否能檢測到特定的攻擊。

　　阻礙因素

　　為了發(fā)展成為一個(gè)市場，BAS供應(yīng)商不僅需要來自安全運(yùn)營中心、應(yīng)用程序和網(wǎng)絡(luò)運(yùn)營等團(tuán)隊(duì)的內(nèi)部支持，驗(yàn)證洞察力的質(zhì)量，而且還需要通過標(biāo)準(zhǔn)框架擴(kuò)大診斷和基本修復(fù)指導(dǎo)。

　　BAS供應(yīng)商必須克服部署和維護(hù)方面的挑戰(zhàn)，并繼續(xù)在相鄰市場上實(shí)現(xiàn)差異化。大型企業(yè)已經(jīng)擁有太多的檢測方法從審計(jì)、漏洞管理、應(yīng)用安全測試到滲透測試等。BAS不能只是簡單地增加數(shù)量，而是要為現(xiàn)有的安全評估提供指導(dǎo)方向并豐富現(xiàn)有的安全評估。

　　建議

　　評估BAS技術(shù)，準(zhǔn)確、安全模擬組織面臨威脅的真實(shí)攻擊能力；

　　對公司的用例進(jìn)行優(yōu)先排序，據(jù)用例評估BAS供應(yīng)商的能力，確定可改善安全風(fēng)險(xiǎn)評估、威脅監(jiān)控和漏洞管理實(shí)踐的BAS技術(shù)；

　　評估供應(yīng)商可提供的攻擊場景的數(shù)量，模擬的更新頻率，以反映真實(shí)攻擊；

　　與審計(jì)員合作，確定BAS技術(shù)是否可用來驗(yàn)證現(xiàn)有安全控制的有效性；

　　確保BAS產(chǎn)品提供的結(jié)果是優(yōu)先、可操作的、并可直接應(yīng)用于響應(yīng)計(jì)劃。

　　5

　　漏洞優(yōu)先排序技術(shù)（VPT）

　　定義

　　漏洞優(yōu)先排序技術(shù)（VPT）通過集中精力識(shí)別對組織構(gòu)成最大風(fēng)險(xiǎn)的漏洞并進(jìn)行優(yōu)先排序，簡化了漏洞分析和修復(fù)/緩解過程。該方法考慮了漏洞的可利用性、資產(chǎn)或業(yè)務(wù)的關(guān)鍵性、漏洞的嚴(yán)重性和現(xiàn)有的補(bǔ)償控制措施。

　　關(guān)注原因

　　VPT支持基于風(fēng)險(xiǎn)的漏洞管理方法（RBVM）。這類產(chǎn)品和服務(wù)利用來自漏洞評估（VA）工具、配置管理數(shù)據(jù)庫（CMDB）的遙測數(shù)據(jù)—盡管擁有CMDB并不是使用VPT的要求—以及應(yīng)用安全測試（AST）。VPT 通過利用分析和各種威脅和漏洞情報(bào)來源增加了一層情報(bào)。

　　業(yè)務(wù)影響

　　VPT解決方案可以被認(rèn)為是一種自動(dòng)化的形式，它帶來了高級(jí)分析技術(shù)和漏洞情報(bào)，以減少執(zhí)行人工RBVM的人力資源需求。全球安全事件和漏洞數(shù)量的持續(xù)上升促使許多組織采用VPT解決方案來實(shí)施高效的漏洞管理計(jì)劃。事件的增加也導(dǎo)致VA供應(yīng)商更傾向于RBVM方法。

　　驅(qū)動(dòng)因素

　　VPT市場繼續(xù)快速增長。VPT能識(shí)別組織更多的實(shí)際風(fēng)險(xiǎn)，并幫助優(yōu)先修復(fù)漏洞。無論是通過修復(fù)（如打補(bǔ)丁）還是補(bǔ)償控制（如入侵防御系統(tǒng)[IPS]和網(wǎng)絡(luò)應(yīng)用程序防火墻[WAF]）。

　　此外，該解決方案還可以節(jié)省全職員工（FTE）的運(yùn)營成本，減少組織的攻擊面，防止漏洞被利用。

　　RBVM是一個(gè)迭代的過程，由技術(shù)（如VA和VPT）支撐，并觸發(fā)其他流程，如IT運(yùn)營執(zhí)行補(bǔ)丁管理。此外，執(zhí)行手動(dòng)RBVM具有挑戰(zhàn)性，它需要智能和自動(dòng)化以成功實(shí)施流程。因?yàn)樾枰紤]利用和業(yè)務(wù)關(guān)鍵性以反映組織的真實(shí)情況，企業(yè)無法通過預(yù)先定義的通用漏洞評分系統(tǒng)分?jǐn)?shù)的傳統(tǒng)方法來進(jìn)行漏洞排序。在VPT的情況下，這些解決方案在當(dāng)前威脅環(huán)境的背景下對漏洞進(jìn)行分析。例如，由于漏洞的公開可利用性，低危漏洞隨時(shí)可而轉(zhuǎn)化為高危漏洞，而CVSS的分?jǐn)?shù)仍保持不變。

　　阻礙因素

　　VPT解決方案通常由漏洞管理成熟度較高的組織利用，在基本的漏洞管理流程到位之前不應(yīng)使用。如果漏洞管理（VM）程序中的流程被破壞，VPT將無法發(fā)揮作用。

　　VM是信息安全操作的基礎(chǔ)部分。然而，根據(jù)嚴(yán)重程度評分來確定漏洞的優(yōu)先級(jí)，會(huì)導(dǎo)致基于單一指標(biāo)的響應(yīng)。這種指標(biāo)驅(qū)動(dòng)的輸出很少基于風(fēng)險(xiǎn)，因?yàn)闆]有考慮威脅活動(dòng)和資產(chǎn)環(huán)境等因素。

　　VM 的運(yùn)用勢不可擋，因?yàn)橛写罅柯┒闯霈F(xiàn)在報(bào)告中，增加了其他業(yè)務(wù)部門的和安全團(tuán)隊(duì)的矛盾沖突。

　　建議

　　實(shí)施基于風(fēng)險(xiǎn)的方法，將資產(chǎn)價(jià)值關(guān)聯(lián)起來，利用VPT解決方案計(jì)算出風(fēng)險(xiǎn)等級(jí)。在確定補(bǔ)救活動(dòng)的優(yōu)先次序時(shí)，這可以減少被破壞的風(fēng)險(xiǎn)。

　　用獨(dú)立的VPT解決方案增強(qiáng)VA工具，以更好地確定優(yōu)先次序，或使用現(xiàn)有的VPT功能，協(xié)助有效的方法來減少實(shí)際風(fēng)險(xiǎn)。這可以實(shí)現(xiàn)供應(yīng)商的整合，并在新的培訓(xùn)和工具部署上投入更少的精力。

　　識(shí)別具有修補(bǔ)功能和SOAR集成的供應(yīng)商。這使安全團(tuán)隊(duì)控制了工作流程。評估這種方法是否合適。如果是的話，利用修復(fù)工作流程自動(dòng)化，避免使用兩個(gè)不同的工具。

　　利用內(nèi)部安全控制的背景，部署VPT解決方案，使現(xiàn)有的安全投資最大化。但這種能力在整個(gè)市場上還不成熟。

　　選擇VPT解決方案，從多個(gè)來源匯總漏洞數(shù)據(jù)，以呈現(xiàn)面向行動(dòng)的指標(biāo)。