漏洞管理的核心一直仰仗由事件響應(yīng)與安全團(tuán)隊論壇(FIRST)維護(hù)通用漏洞評分系統(tǒng)(CVSS),很容易就會被CVSS評分誤導(dǎo),陷入數(shù)字游戲當(dāng)中,這些操作往往只能降低紙面上的風(fēng)險,而不是實際上的。傳統(tǒng)漏洞管理方法執(zhí)行的是漸進(jìn)式風(fēng)險降低操作,修復(fù)重點要么放在高CVSS的嚴(yán)重漏洞上(所謂以漏洞為中心的模式),要么根據(jù)資產(chǎn)的價值和暴露面來定(比如面向互聯(lián)網(wǎng)、第三方訪問、含有敏感數(shù)據(jù)、提供業(yè)務(wù)關(guān)鍵功能等等;所謂資產(chǎn)為中心的模式)。然而,不幸的是,兩種模式往往都落入以最少的補(bǔ)丁封堵最多風(fēng)險的境地。
Gartner表示,公司企業(yè)應(yīng)將其漏洞管理操作轉(zhuǎn)向以威脅為中心的模式,實現(xiàn)臨近威脅清除,而不是逐步的風(fēng)險減小。該新模式下,臨近威脅的緩解優(yōu)先級會被拉高。雖然不能預(yù)測誰會攻擊我們,但至少可以預(yù)估誰或什么東西有可能成功實施攻擊。