《Gartner十大安全项目之“基于风险的弱点管理项目”》 – 作者:bj00sec

其中“基于风险的弱点管理项目”，是在2018年被正式提出，在2018和2019年被称为“符合CARTA方法论的弱点管理项目”，在2020年被更新为现在的更适合的名称。

Vulnerability在此处表达的是“弱点”，而非“漏洞”，是因为弱点包含漏洞，也包含其他能引起业务风险的方面，比如配置不安全、信息泄露等。另外，弱点管理也并不仅仅是检测和发现弱点，比如漏洞扫描、渗透测试、配置核查等都仅属于发现弱点，而此处的“管理”，更多的是需要针对弱点进行发现和评估、并进行处置优先级排序，以及弱点补偿控制等一些列形成闭环的工作。

Gartner在2020年提出以VPT（弱点优先级技术），用于替换和升级TVM（威胁和弱点管理）。这也是“基于风险的弱点管理项目”的核心技术和工具，本项目需要以VPT将弱点的发现、评估、优先级排序、工作流程、处置方式和效果、自动化措施等串行在一起，形成整个风险管理的闭环和迭代提升。

弱点管理是安全运营的基本组成部分。补丁从来都不能等同对待，应该通过基于风险优先级的管理方式，找到优先需要处理的弱点并进行补偿性管理，从而显著降低风险。

从漏洞的角度来说，现实已经表明，漏洞太多了，层出不穷，如果每个重要的漏洞都要去处理，是不现实的，应该首先聚焦在可被利用的漏洞上。进一步讲，你如何知道一个漏洞是否已经可被利用？这时候就需要漏洞情报，不是关于漏洞自身的情况，而是关于漏洞利用（EXP）和漏洞证明（POC）的情报。

通过《X-Force威胁情报指数2020》的显示，真实的网络攻击有90%来自于钓鱼攻击、漏洞攻击、弱口令和非授权攻击。其中漏洞攻击占到大约30%左右。

作为基于风险的弱点管理项目的核心技术VPT，应该关注与对造成最主要的威胁的弱点进行采集，并且结合系统重要程度、威胁利用难易程度和紧急情况等，进行优先级分配和处理，结合经验和流程尽量形成自动化处置（包括但不限于打补丁、缓解、转移、接受等），并对处置结果和效果进行验证和评判。

零零信安VPT产品，正是针对弱点优先级项目和解决该类问题研发的安全风险管理产品，其强大和丰富的弱点优先级管理能力，能够帮助企业立竿见影的管理最紧迫和最棘手的安全威胁。

完善的漏洞统计与处置状态分析：

详细的漏洞信息，便捷的漏洞处置操作：

来源：freebuf.com 2021-07-21 15:49:04 by: bj00sec