4月，網絡安全界屏息凝神，因為“通用漏洞披露(Common Vulnerabilities and Exposures，CVE)”計劃一度陷入生死存亡的危機，最終，在最后一刻的寬限讓該項目轉危為安。

盡管CVE并未涵蓋網絡安全問題的全部范疇，但作為安全計劃的一部分，它仍是跟蹤網絡安全問題的一個關鍵組成部分。在過去25年里，CVE計劃已演變成一項關鍵、共享且全球性的資源，幫助IT防御人員保護其用戶的安全，因此，這項工作必須持續下去。

但此時并非慶祝之時，我們所熟知的漏洞管理模型已從根本上失效，因為被利用的CVE僅占企業總風險暴露的一小部分。大多數傳統風險暴露管理工具都無法全面洞察問題，原因在于，它們要么只能監測到一小部分漏洞，要么無法查看所有企業資產，或者兩者兼而有之，網絡防御人員需要一種新的方法，而且要快。

為何風險暴露管理如此困難?

多種因素疊加，使得他們的工作愈發艱難，其中很大一部分原因在于企業攻擊面的規模和復雜性。根據企業的情況不同，攻擊面可能涵蓋從本地服務器和臺式機到遠程辦公筆記本電腦和智能手機、公有云容器、邊緣設備以及運營技術(OT)等所有方面。

僅這一點就構成了重大的可見性挑戰，不僅因為資產分布廣泛，還因為在云原生環境中，這些資產是動態且短暫的。

與此同時，威脅行為者正以更大的決心走向專業化。

CVE存在的問題

有效的風險暴露管理將是確保企業在未來幾年保持領先地位的關鍵，但許多企業使用的工具和方法存在根本性缺陷，因為它們并不能反映所有存在的漏洞/風險暴露，威脅行為者會利用配置錯誤、分段問題、內部暴露資產和其他問題。

Verizon去年評估的數據泄露事件中，只有三分之一與已知被利用的漏洞有關，而且，即使CVE確實代表了所有風險暴露，但根據美國國家標準與技術研究院(NIST)引用的數據，只有極小比例(0.5%)的漏洞會被利用。

傳統工具無法覆蓋典型企業攻擊面上分布的所有資產，這為攻擊者提供了更多機會，未知且難以管理的資產不僅包括影子IT，還包括OT、物聯網設備以及無數其他環境，在這些環境中，基于代理和依賴憑證的解決方案并不可行。

另一個對威脅行為者有利(對網絡防御人員不利)的因素是，CVE評分系統的復雜性常常被低估，而且其最終依賴于專家有效使用這些系統來對可修復問題進行分類和優先級排序。

通用漏洞評分系統(Common Vulnerability Scoring System，CVSS)、漏洞利用預測評分系統(Exploit Prediction Scoring System，EPSS)和利益相關者特定漏洞分類(Stakeholder-Specific Vulnerability Categorization，SSVC)框架都對優先級排序有所闡述，但沒有一個能講述全部情況，這可能導致本已不堪重負的團隊收到過多警報。

保護整個攻擊面

為了重新掌握應對攻擊面風險暴露的主動權，安全和IT團隊需要超越基于代理的方法，更要超越CVE，通過結合主動掃描、被動發現和API集成，有可能全面洞察內部和外部攻擊面，包括影子IT設備和潛在未管理的資產，如OT和IoT端點。

接下來，關鍵在于通過指紋識別技術提取盡可能多的上下文豐富的數據，以描繪每個資產的詳細情況，包括其使用的服務、資產所有者是誰、是否未打補丁或配置錯誤、連接到什么設備等等，這里的分析越深入，畫像就越準確。結合信息收集技術，例如，對那些未管理設備進行精確的系統級識別，并針對這些設備特有的默認密碼進行定制化的下一步詢問，使防御人員能夠快速準確地構建出其網絡“暗物質”的完整、可操作的畫像，這最終將深入揭示那些原本可能仍然是個謎的風險暴露，如缺失的安全控制、已停用的軟件以及與其他網絡和設備連接的高風險資產。

最重要的是，必須注重簡潔性和數據驅動的洞察力，這意味著要將這些前沿能力整合到一個單一平臺上，該平臺能夠利用基于風險的洞察力，就風險暴露發出優先級警報。