多年來，漏洞管理一直是網絡安全領域的主要手段，旨在不斷識別系統和軟件中的漏洞，確定優先級，最終修復漏洞。然而隨著網絡安全預算緊張、遠程辦公的常態化，越來越復雜的威脅形勢給傳統漏洞管理工作提出了更加嚴峻的挑戰。如果企業想降低重大安全事件的數量和損失，就必須創建一個能夠更加全面反映組織所面臨的實際安全挑戰的威脅管理流程，從傳統的漏洞管理向持續威脅暴露管理(CTEM)演進成為了企業數字化轉型中的必然選擇。

傳統漏洞管理的不足

漏洞管理是一個識別、分析、緩解和報告軟件應用系統中安全威脅的過程。漏洞管理需要定期進行，以及時評估現有的安全狀況，以及漏洞管理計劃是否需要優化更改。全面且執行良好的漏洞管理計劃對于防范網絡威脅提供了許多幫助，但也常常面臨以下限制：

1.洞察力不足

傳統的漏洞管理模式需要和已知的漏洞數據庫進行比對，經常會錯過數據庫之外的活躍威脅，或者超出其能力識別范圍的復雜威脅。它們還會產生大量的誤報，從而使企業對關鍵威脅的敏感度降低。在這種不全面的威脅管理模式下，企業往往會存在一種虛假的安全感，只要漏洞掃描沒有發現異常，安全運營人員就會認為一切太平。

2.管理無序

難以對所發現的威脅進行優先級排序是企業目前在漏洞管理工作中面臨的最嚴重的挑戰之一。太多企業通過掃描識別安全漏洞，然后直接進入修復階段。在某種程度上，這種緊迫性是可以理解的。但未能有效地確定優先級可能會導致時間和資源的浪費，因為團隊競相解決的可能是那些對業務關鍵資產沒有真正風險的漏洞。

3.缺乏連續性

企業的威脅管理工作應該是持續的，而不是偶發的。如果企業不采取持續的方法，他們將難以控制安全風險的流動并積累大量的“風險債務”。在傳統的漏洞管理模式下，由于自動化能力不足，安全運營團隊往往會疲于奔命，而處理不斷積壓的安全問題可能會使安全運營工作整體不堪重負，如何實現以自動化威脅識別為中心的持續威脅管理方法是企業持續改進安全態勢的關鍵要求。

持續威脅暴露管理的價值

傳統的漏洞管理只能夠解決企業當前的威脅風險問題，但潛在的漏洞風險仍然存在。為了真正做到安然無恙，研究機構Gartner提出了一種主動式威脅防御新思路——持續威脅暴露管理(Continuous Threat Exposure Management，CTEM)。在這種理念中，強調了持續性的安全威脅發現、修復和緩解，鼓勵安全團隊采用主動的風險管理心態，而非傳統模型的被動心態。

Gartner認為，CTEM是一種更加務實且有效的系統化威脅管理方法論，可以有效降低組織遭到安全泄密事件的可能性。通過優先考慮高等級的潛在威脅處置，CTEM實現了不斷完善的安全態勢改進，將“修復和態勢改進”從暴露面管理計劃中分離，強調有效改進態勢的處置要求。同時，CTEM計劃的運作有特定的時間范圍，它遵循治理、風險和合規性(GRC)的要求，可為企業長期安全管理戰略的轉變提供決策支撐。

對于企業組織而言，將傳統漏洞管理模式升級為持續威脅暴露管理(CTEM)可以獲得以下收益：

• 不僅限于漏洞修補：CTEM不僅識別和修補漏洞，它還能夠持續監控整個網絡攻擊面，包括外部威脅和錯誤配置，從而提供組織網絡安全風險態勢的完整視圖;
• 提高威脅管理效率：人工修補漏洞不僅耗時，也更容易出錯。CTEM能夠幫助安全運營人員自動化處理這些任務，使安全團隊能夠專注于重要工作和事件響應。
• 數據驅動的管理決策：CTEM使組織能夠根據實時數據和威脅情報做出更優化的安全管理決策，這有助于優化資源分配，并盡量提高威脅管理工作的成效。
• 增強的安全態勢：通過主動識別和緩解威脅，CTEM增強了整體安全態勢，使組織能夠應對一系列更廣泛的威脅，不僅僅是漏洞，這大大降低了新型網絡攻擊得逞的風險。
• 實時威脅情報支持：CTEM要求整合最新的威脅情報信息，便于組織根據漏洞被利用的可能性確定其優先級，從而確保合理利用有限資源，優先處理那些最嚴重的安全威脅。

向持續威脅暴露管理演進的關鍵因素

盡管開展持續威脅暴露管理有很多優點，但其真正實現也并不容易，因為這需要企業安全運營團隊長期投入大量時間、人員及其他資源。為了保障企業由傳統的漏洞管理模式向持續威脅暴露管理的順利演進，研究人員建議企業在此過程中重點關注以下5個因素：

1.定義明確的目標

企業應該明確定義采用CTEM計劃的安全目標和期望結果，使組織網絡風險管理工作與數字化發展目標協同一致。這有利于指導接下來的持續威脅暴露管理工作。

2.評估現有的數字化環境

在實施CTEM計劃之前，企業應該全面了解現有的安全基礎設施、工具和流程，以確定能力差距和集成需求。掌握最新的數字化資產清單是開展持續威脅管理管理計劃的基礎要求，但實踐起來卻非常困難。尤其是在當今的企業環境中，物理設備、遠程終端、物聯網組件、云服務、軟件即服務(SaaS)和開源代碼組件等大量系統和應用充斥其中，想要獲取一份全面并能及時更新的數字資產清單非常困難。

3.選擇合適的技術工具

企業在實施持續威脅暴露管理計劃時，需要應用功能完善的威脅管理工具。這樣不僅可以快速識別各種安全漏洞，還能夠自動部署和安裝相應補丁，從而加強系統的安全性，防止嚴重的安全風險。

4.制定全面的威脅管理計劃

企業應該為持續監測、威脅情報集成、漏洞補救和持續優化制定一項全面的策略計劃。通過全面的威脅管理策略，可幫助安全團隊在實時網絡攻擊的壓力下，有條不紊地采取適當的威脅管理和處置措施。同時，還建議企業盡快更新組織的網絡安全意識培訓計劃，強調日常業務環境中威脅可見性和警惕性的重要性，并根據每個員工的日常反饋，不斷更新優化CTEM流程與目標。

5.組建專業的威脅管理團隊

開展持續威脅暴露管理涉及多個方面，從定期的滲透測試到全面的威脅暴露管理，任何一個疏漏都可能導致危害發生。因此，需要一個專業、可靠的安全團隊來進行保障。在這個安全團隊中，除了要配置負責威脅發現和事件處置的專業人員，還要涵蓋業務部門的利益相關者，例如業務部門的風險管理員工，他們可以說明在對業務系統進行處置時，組織可能受到的影響，這樣團隊可以更好地制定并實施威脅暴露管理工作計劃。

參考鏈接：

https://strobes.co/blog/the-evolving-landscape-of-security-from-vulnerability-management-to-ctem/。