多年来,漏洞管理一直服务于各类组织和网络安全行业。作为一项有效实践,它帮助企业防御攻击面,并防止威胁行为者利用漏洞。

但技术和 IT 基础设施已经发生演进。漏洞管理已无法应对这种演进带来的挑战。如今,暴露管理正在提供一种更全面的端点安全方法,覆盖漏洞管理力有未逮的领域。

下面我们深入了解二者之间的区别,帮助您决定如何保护组织。

什么是漏洞管理?

漏洞管理是一项网络安全实践,包括持续、主动地识别、评估、确定优先级并修复黑客可用来入侵您组织的漏洞。

不过,需要注意的是,漏洞管理有两种不同类型:

传统漏洞管理

基于风险的漏洞管理

旨在尽可能多地修复漏洞。这通常会带来大量工作量和不切实际的成功预期,同时造成一种虚假的安全感。

这是一种演进后的漏洞管理实践,会在漏洞优先级排序中纳入风险因素。这使组织能够修补构成现实威胁的关键漏洞,既保护组织免受威胁行为者侵害,又确保稳健的安全态势并有效管理资源。

基于风险的漏洞管理方法超越了传统漏洞管理,可为您的组织带来以下优势:

  • 持续监控漏洞,实现主动安全防护。
  • 识别正被主动利用的暴露。
  • 支持高效的修复工作。
  • 降低风险。
  • 帮助组织实现合规。

虽然基于风险的漏洞管理覆盖了许多方面,但它仍无法提供组织保持安全所需的整体网络安全方法。这正是暴露管理发挥作用的地方。

什么是暴露管理?

暴露管理是一项不断发展的网络安全实践,可在整个攻击面范围内提供全面可视性。它让 IT 和安全团队能够准确识别组织可能暴露于风险的位置,同时纳入基于风险的优先级排序、修复等能力。暴露管理侧重于维持组织自行确定的风险偏好。因此,它包含四个阶段:

graphic of 4 circles

与基于风险的漏洞管理一样,暴露管理有助于根据现实风险确定应优先处理哪些漏洞和暴露,但它更进一步,会纳入与您具体业务最相关的因素。这种网络安全方法可确保最高风险的暴露在被攻击者利用之前得到主动修复。

暴露管理与漏洞管理:有何区别?

暴露管理代表了传统漏洞管理之后的下一阶段演进。漏洞管理主要侧重于识别和解决服务器及端点中的弱点,而暴露管理则通过提供整个攻击面的完整可视性来扩展这一范围。

主要区别包括:

  • 暴露管理面向新型资产而设计:现代 IT 环境日益复杂,如今涵盖软件即服务 (SaaS) 应用、物联网设备、云基础设施等资产。暴露管理旨在覆盖这些新型资产,确保 IT 和安全团队能够识别组织中任何位置存在的风险。通过这种方式,暴露管理可让组织全面了解所有潜在入口点,从而以前所未有的效率管理和降低风险。
  • 暴露管理正视现实,并倡导风险偏好方法:再次强调,漏洞管理以修补漏洞为中心。虽然基于风险的漏洞管理提供风险优先级排序和修复编排,但这种实践并未承认一个事实:对于组织而言,修补每一个漏洞并不现实。风险偏好是组织自行确定的衡量标准,用于定义其愿意接受多少风险。这是一种明显更现实的方法,可凝聚整个组织围绕共同 KPI 协作,并在各团队之间一致衡量成功。
  • 暴露管理超越 CVE 和 CVSS:漏洞管理主要聚焦于通用漏洞与暴露 (CVE)。虽然 CVE 对大多数组织来说是重要目标,但它们并不是威胁行为者可用来对组织造成损害的唯一诱因。黑客仍可利用以下漏洞管理未涵盖的暴露来入侵您的组织:
  • 配置错误。
  • 应用程序安全问题。
  • IT 系统策略。
  • 特权访问控制

回到整体方法的视角,暴露管理覆盖所有这些现代资产。此外,漏洞管理在修复优先级排序方面高度依赖通用漏洞评分系统 (CVSS)。虽然 CVSS 是衡量严重性的可靠指标,但它能够提供有效的风险调整视角。

风险是需要牢记的重要因素,因为它涵盖漏洞是否已被利用、是否与勒索软件/恶意软件相关,或当前是否处于高关注状态。不纳入风险因素会使 CVSS 造成虚假的紧迫感,导致 IT 和安全团队把时间和资源浪费在并非真正紧急的漏洞上。

如何保护您的组织

既然我们已经介绍了暴露管理与漏洞管理之间的区别,现在是时候利用暴露管理带来的优势了。了解 Ivanti 的暴露管理产品组合如何提升您的 IT 和安全团队能力。