漏洞管理的核心一直仰仗由事件響應(yīng)與安全團(tuán)隊論壇(FIRST)維護(hù)通用漏洞評分系統(tǒng)(CVSS)，很容易就會被CVSS評分誤導(dǎo)，陷入數(shù)字游戲當(dāng)中，這些操作往往只能降低紙面上的風(fēng)險，而不是實際上的。傳統(tǒng)漏洞管理方法執(zhí)行的是漸進(jìn)式風(fēng)險降低操作，修復(fù)重點要么放在高CVSS的嚴(yán)重漏洞上（所謂以漏洞為中心的模式），要么根據(jù)資產(chǎn)的價值和暴露面來定（比如面向互聯(lián)網(wǎng)、第三方訪問、含有敏感數(shù)據(jù)、提供業(yè)務(wù)關(guān)鍵功能等等；所謂資產(chǎn)為中心的模式）。然而，不幸的是，兩種模式往往都落入以最少的補(bǔ)丁封堵最多風(fēng)險的境地。

Gartner表示，公司企業(yè)應(yīng)將其漏洞管理操作轉(zhuǎn)向以威脅為中心的模式，實現(xiàn)臨近威脅清除，而不是逐步的風(fēng)險減小。該新模式下，臨近威脅的緩解優(yōu)先級會被拉高。雖然不能預(yù)測誰會攻擊我們，但至少可以預(yù)估誰或什么東西有可能成功實施攻擊。