設備多樣性、雲應用(yòng)、遠程辦公、日益複雜的軟件供應鏈，無一不在顯著擴大當今的攻擊面。但盡管安全運營投資年(nián)年(nián)漲，大多數企業卻僅能(néng)投入資源解決自(zì)身環境裏(lǐ)數百萬事(shì)件中的10%。

有很多方法可(kě)以創建所(suǒ)有資産及其(qí)相關風險态勢的綜合清單：電子表格、“傳統”網絡掃描器和IT資産管理工具以及網絡資産攻擊面管理（CAASM）平台。

然而(ér)，取決于(yú)所(suǒ)選方法，團隊可(kě)能(néng)隻關注“傳統”攻擊面，而(ér)沒有全面考慮分隔良好的典型去(qù)中心化多雲現代網絡中存在的一切。盡管這一領域進展不斷，但仍建立在基于(yú)狀态的即時洞察上。因此，缺乏對(duì)攻擊行(háng / xíng)爲的洞察影響到了其(qí)整體有效性。

另一方面，威脅檢測與響應工具分析網絡、用(yòng)戶和機器行(háng / xíng)爲，旨在幫助企業從對(duì)手的視角了解自(zì)身攻擊面。雖然安全信息與事(shì)件管理（SIEM）系統的數據質量相當可(kě)觀，但警報過(guò)載令團隊極其(qí)難以梳理并抽取出最相關的信息。

威脅檢測與響應平台通常隻監測“已知”資産的更改，而(ér)最大的威脅在于(yú)對(duì)未知資産的更改。所(suǒ)以，盡管在快速響應和修複方面取得(dé / de / děi)了長足的進步，但這些平台還是發(fā／fà)現不了典型軟件漏洞和錯誤配置之外的暴露。咨詢公司Gartner預測，到2026年(nián)，未修複攻擊面将從2022年(nián)不足企業總暴露的10%上升到超過(guò)一半。

有幾種方法可(kě)以衡量漏洞的潛在影響和可(kě)利用(yòng)性，例如(rú)通用(yòng)漏洞評分系統（CVSS）、漏洞利用(yòng)預測評分系統（EPSS）和供應商特定的評分系統，CVSS是最常見的漏洞優先級排序方法。

隻依賴第三方指導的最大風險在于(yú)沒考慮到企業的特殊需求。比如(rú)，安全團隊仍然不得(dé / de / děi)不确定一堆“高危”漏洞（如(rú)CVSS評分9.0+）中到底優先修複哪些。

這種情況下(xià)，僅僅依靠這些定量方法是不可(kě)能(néng)作出明智決策的。資産所(suǒ)處位置等因素有助于(yú)團隊确定漏洞在公司環境中的可(kě)利用(yòng)性，而(ér)其(qí)相互關聯可(kě)使團隊能(néng)夠了解波及範圍或整個潛在攻擊路徑。

從配置管理數據庫（CMDB）到控制措施，從依賴關系映射到數據湖，如(rú)果沒有内部業務跟蹤系統，這份資源清單就(jiù)不完整。這些資源都是排序威脅和暴露優先級的重要(yào / yāo)參考，因爲它們能(néng)夠展示設備和漏洞之間的聯系以及整體業務關鍵性和依賴關系映射。

但盡管充實豐富，定制數據庫卻需要(yào / yāo)大量人工操作才能(néng)實現并保持更新。因此，考慮到現代企業環境變更的速度，這些定制數據庫很快就(jiù)會(huì)過(guò)時，不再能(néng)夠準确探查安全态勢的變化。

盡管上述每種數據源都有其(qí)自(zì)身的用(yòng)途，能(néng)提供獨特的寶貴洞察，但沒有哪一種能(néng)獨自(zì)挑起勘破當今複雜威脅形勢的重擔。也就(jiù)是說，如(rú)果能(néng)綜合使用(yòng)，這些數據源非常強大，能(néng)夠全面揭示有利位置，使團隊能(néng)夠作出更好、更明智的決策。

推動風險知情決策所(suǒ)需的很多有價值洞察要(yào / yāo)麽遺失在企業技術堆棧孤島中，要(yào / yāo)麽阻塞在相互沖突的團隊和流程之間。盡管現代企業環境需要(yào / yāo)安全同步跟進，但沒有哪個工具或團隊可(kě)以獨立修複這一割裂的過(guò)程。

文章來源：彼得(dé / de / děi)研究院