为何必须突破工具漏洞清单思维，照亮安全盲区

4月，为何网络安全界屏息凝神 ，必须因为“通用漏洞披露(Common Vulnerabilities and 突破Exposures ，CVE)”计划一度陷入生死存亡的工具危机，最终，漏洞在最后一刻的清单宽限让该项目转危为安 。

尽管CVE并未涵盖网络安全问题的照亮全部范畴，但作为安全计划的安全一部分 ，它仍是盲区跟踪网络安全问题的一个关键组成部分。在过去25年里，为何CVE计划已演变成一项关键、源码库必须共享且全球性的突破资源，帮助IT防御人员保护其用户的工具安全 ，因此 ，漏洞这项工作必须持续下去。清单

但此时并非庆祝之时，我们所熟知的漏洞管理模型已从根本上失效，因为被利用的CVE仅占企业总风险暴露的一小部分。大多数传统风险暴露管理工具都无法全面洞察问题，原因在于
，它们要么只能监测到一小部分漏洞 ，要么无法查看所有企业资产 ，免费模板或者两者兼而有之，网络防御人员需要一种新的方法，而且要快 。

为何风险暴露管理如此困难?

多种因素叠加，使得他们的工作愈发艰难，其中很大一部分原因在于企业攻击面的规模和复杂性。根据企业的情况不同 ，攻击面可能涵盖从本地服务器和台式机到远程办公笔记本电脑和智能手机
、公有云容器、边缘设备以及运营技术(OT)等所有方面 。

仅这一点就构成了重大的可见性挑战 ，云计算不仅因为资产分布广泛
，还因为在云原生环境中
，这些资产是动态且短暂的。

与此同时 ，威胁行为者正以更大的决心走向专业化 。

CVE存在的问题

有效的风险暴露管理将是确保企业在未来几年保持领先地位的关键，但许多企业使用的工具和方法存在根本性缺陷，因为它们并不能反映所有存在的源码下载漏洞/风险暴露
，威胁行为者会利用配置错误 、分段问题
、内部暴露资产和其他问题 。

Verizon去年评估的数据泄露事件中，只有三分之一与已知被利用的漏洞有关，而且 ，即使CVE确实代表了所有风险暴露，但根据美国国家标准与技术研究院(NIST)引用的数据 ，只有极小比例(0.5%)的漏洞会被利用。

传统工具无法覆盖典型企业攻击面上分布的所有资产，高防服务器这为攻击者提供了更多机会，未知且难以管理的资产不仅包括影子IT，还包括OT、物联网设备以及无数其他环境 ，在这些环境中，基于代理和依赖凭证的解决方案并不可行。

另一个对威胁行为者有利(对网络防御人员不利)的因素是，CVE评分系统的复杂性常常被低估
，而且其最终依赖于专家有效使用这些系统来对可修复问题进行分类和优先级排序。

通用漏洞评分系统(Common Vulnerability Scoring System ，CVSS)、服务器租用漏洞利用预测评分系统(Exploit Prediction Scoring System，EPSS)和利益相关者特定漏洞分类(Stakeholder-Specific Vulnerability Categorization ，SSVC)框架都对优先级排序有所阐述，但没有一个能讲述全部情况 ，这可能导致本已不堪重负的团队收到过多警报。

保护整个攻击面

为了重新掌握应对攻击面风险暴露的主动权，安全和IT团队需要超越基于代理的方法，更要超越CVE ，通过结合主动扫描、被动发现和API集成，有可能全面洞察内部和外部攻击面，包括影子IT设备和潜在未管理的资产，如OT和IoT端点。

接下来，关键在于通过指纹识别技术提取尽可能多的上下文丰富的数据，以描绘每个资产的详细情况 ，包括其使用的服务、资产所有者是谁 、是否未打补丁或配置错误、连接到什么设备等等，这里的分析越深入 ，画像就越准确 。结合信息收集技术，例如，对那些未管理设备进行精确的系统级识别，并针对这些设备特有的默认密码进行定制化的下一步询问
，使防御人员能够快速准确地构建出其网络“暗物质”的完整 、可操作的画像  ，这最终将深入揭示那些原本可能仍然是个谜的风险暴露，如缺失的安全控制 、已停用的软件以及与其他网络和设备连接的高风险资产 。

最重要的是
，必须注重简洁性和数据驱动的洞察力
 ，这意味着要将这些前沿能力整合到一个单一平台上，该平台能够利用基于风险的洞察力
，就风险暴露发出优先级警报。