一直以來，漏洞管理都被當做一項工程任務，沒有將安全漏洞與業(yè)務的關(guān)聯(lián)，及其實際造成的威脅考慮進去。

[[213066]]

隨著一些防護不周的新技術(shù)的采納，比如物聯(lián)網(wǎng)(IoT);以及網(wǎng)絡犯罪活動的不斷升級，更具破壞性的入侵事件也在增加。隨后的監(jiān)管與法律審查，暴露出了這一傳統(tǒng)方式的缺陷。這就引出了傳統(tǒng)漏洞管理局限性，以及可以采取什么措施來驅(qū)動以風險為中心的新方法的問題。最終目標，是要暴露出迫在眉睫的威脅以便及時修復，并更有效減小不斷擴張的攻擊界面所承受的風險壓力。

《2017美國網(wǎng)絡犯罪調(diào)查情況》表明，39%的受訪者報告稱過去12個月中網(wǎng)絡安全事件的頻度有所上升。這在有關(guān)數(shù)據(jù)泄露和新發(fā)現(xiàn)漏洞的日常新聞報道中也有所反映。因而，公司企業(yè)計劃升級其IT和數(shù)據(jù)安全，以避免未來的網(wǎng)絡攻擊?；凇?014-2017 CIO狀態(tài)》，如今安全問題已成為緊跟在達成預設盈利目標之后的企業(yè)第二大頭等要務。

面對2017數(shù)據(jù)泄露潮，我們得考慮傳統(tǒng)漏洞管理方法是否依然適用，僅僅升級現(xiàn)有方法或工具是否足以應對。傳統(tǒng)中型企業(yè)面對的，是其整個生態(tài)系統(tǒng)中平均有20萬個漏洞的現(xiàn)狀，其安全分析師常常陷入不知道從哪兒開始的窘境?？紤]到企業(yè)攻擊界面還在持續(xù)膨脹，從終端、應用、數(shù)據(jù)庫、移動設備到IoT都是漏洞滿滿，情況只會越來越糟。這也是為什么Gartner在其《2017威脅態(tài)勢》中，將該情況比喻為“你的屋頂正在漏水，且越來越漏”的原因。

漏洞不是什么新出現(xiàn)的事物，計算機面世時就有漏洞的存在。雖然漏洞管理工具和實踐在過去幾十年有所發(fā)展，添加了身份驗證或代理掃描之類的新功能，其核心卻依然仰仗由事件響應與安全團隊論壇(FIRST)維護通用漏洞評分系統(tǒng)(CVSS)。

很容易就會被CVSS評分誤導，陷入數(shù)字游戲當中。但這些操作往往只能降低紙面上的風險，而不是實際上的。傳統(tǒng)漏洞管理方法執(zhí)行的是漸進式風險降低操作。他們的修復重點，要么放在高CVSS的嚴重漏洞上(所謂以漏洞為中心的模式)，要么根據(jù)資產(chǎn)的價值和暴露面來定(比如面向互聯(lián)網(wǎng)、第三方訪問、含有敏感數(shù)據(jù)、提供業(yè)務關(guān)鍵功能等等;所謂資產(chǎn)為中心的模式)。然而，不幸的是，兩種模式往往都落入以最少的補丁封堵最多風險的境地。

這些傳統(tǒng)方法再也不能滿足當今威脅態(tài)勢的需求。Gartner表示，公司企業(yè)應將其漏洞管理操作轉(zhuǎn)向以威脅為中心的模式，實現(xiàn)臨近威脅清除，而不是逐步的風險減小。即將到來的威脅可通過關(guān)聯(lián)漏洞與其流行率加以識別：

• 漏洞被惡意軟件、勒索軟件或漏洞利用工具包盯上了嗎?
• 有攻擊者利用該漏洞針對我們的同行公司嗎?

該新模式下，臨近威脅的緩解優(yōu)先級會被拉高。雖然不能預測誰會攻擊我們，但至少可以預估誰或什么東西有可能成功實施攻擊。

最后，計劃“升級”已有漏洞及補丁管理操作的公司企業(yè)，應跳出自身當前安全態(tài)勢的局限，以新興安全分析和網(wǎng)絡風險管理功能來增強工具集，構(gòu)筑基于場景和目標的方法，評估“可能的”威脅，預計潛在威脅的影響和后果。