安全漏洞管理的4个常见误区

原创 Richard 方桥安全漏洞防治中心 2025-05-12 10:01

这里不详细解释。
感兴趣可查看：

https://www.csoonline.com/article/3970955/4-big-mistakes-youre-probably-still-making-in-vulnerability-managementand-how-to-fix-them.html

原文对每个误区都给出了解决方法。进一步可提炼共性如下：

基于标准化，尽量自动化。

下面展开说明。

原文作者主张“实时监测”漏洞。自动化是实现“实时监测”的必要前提。考虑到应该最小化对业务运行可能造成的负面影响，还需要做到精细化的资产管理。

要减少“救火”，就需要在CVSS之外再多看几个维度。比如EPSS（每日更新的漏洞利用概率评分），比如AVSS（动态更新的资产价值评分）。这也需要精细化的资产管理，特别需要尽可能丰富的资产信息。比如：资产所在环境，资产在业务服务架构中的位置等。

在全面“降本增效”的形势下，将专业人员从日常琐事中解放出来尤其重要。识别出可以自动化的场景，将相应的工作标准化，才能可靠地自动化——既提高效率，又降低风险。（多说一句，这里的自动化不限于安全漏洞管理。）

在当前的软件生态中，软件供应链安全漏洞风险无法彻底规避。单台服务器上动辄成百上千的软件、组件，只有全生命周期纳入资产管理，才能有效地实现安全左移——
“及早发现，及早处置”
。

市面上已经有不少安全专业领域的大模型（LLM），同时很多企业的安全漏洞防治工作还停留在人工维护资产和漏洞台账的状态。

个人认为，对这些企业来说，安全漏洞防治工作需要尽快标准化，再走向自动化甚至智能化。

而从安全漏洞防治的几个主要环节（发现-评估-处置-验证）来看，漏洞处置是当下普遍的瓶颈。解决这个问题既需要评估环节给出更可信、更完整的结论，也需要推动处置环节标准化、自动化。

推荐阅读
– 安全漏洞防治工作的挑战与解决方案：从CVE停更到可信计算环境构建

近期文章