每24小时,大约有80个新CVE被发布。如果没有系统化的方法来发现、优先排序和修复漏洞,您就是在用企业做俄罗斯轮盘赌。60%的数据泄露涉及已知且未修补的漏洞。
漏洞管理是一个持续的、系统化的过程,用于识别、评估、优先排序、修复和验证组织IT资产中的安全漏洞。这不是一次性扫描——而是一个持续降低组织风险的长期计划。
漏洞涵盖多个类别:
漏洞评估告诉您哪里出了问题(时点性)。漏洞管理确保问题得到修复——并保持修复状态(持续计划,包括优先排序、跟踪、验证和改进)。
监管罚款:NIS2强制要求漏洞管理——最高€1000万或营业额的2%。泄露责任:GDPR要求"适当的技术措施"。勒索软件:WannaCry、Log4Shell、MOVEit——都利用了已知的可修补缺陷。保险:网络保险公司会审计补丁管理并调整保费或拒绝理赔。
您无法保护您不了解的东西。维护所有IT资产的最新清单并持续扫描。关键指标:资产覆盖率、扫描频率、距上次扫描的时间。
并非所有漏洞都同等重要。高CVSS评分并不自动意味着高风险。考虑可利用性、资产重要性、暴露度、补偿控制和业务背景。
选项包括打补丁、配置更改、补偿控制(WAF、虚拟补丁)、正式风险接受或系统退役。
一个"已修补"但实际上没有修复的漏洞会提供虚假的安全感。修复后始终重新扫描、回归测试并验证配置更改。
为多个受众服务:安全团队(战术仪表板)、IT管理层(战略报告)、高管(业务风险)和审计员(合规证据)。
数量:成千上万的严重/高危发现——无法全部修复。虚假紧迫性:许多严重CVE从未被利用。缺少背景:支付系统上的中危漏洞可能比隔离开发服务器上的严重漏洞风险更高。
基于风险的漏洞管理(RBVM)将漏洞严重性与威胁情报(是否被利用?)、资产重要性(有多重要?)和暴露度(面向互联网?)相结合。这可将可操作的积压工作减少80-90%。
| 方面 | CVSS | EPSS |
|---|---|---|
| 衡量内容 | 漏洞严重性(0–10) | 利用概率(0–100%) |
| 更新频率 | 基本静态 | 每日 |
| 关注点 | 可能发生什么 | 将会发生什么 |
| 局限性 | 仅约15%的严重漏洞被利用 | 不考虑资产背景 |
高CVSS + 高EPSS → 严重,立即修复。高CVSS + 低EPSS → 在标准SLA内安排。低CVSS + 高EPSS → 提升优先级,调查(可能被低估)。低CVSS + 低EPSS → 在常规维护中处理。
| 框架 | 漏洞管理要求 | 处罚 |
|---|---|---|
| NIS2 | 第21条:"漏洞处理和披露"作为最低措施 | 最高€1000万/营业额2% |
| DORA | ICT风险管理、定期漏洞评估 | 行业特定执行 |
| DSGVO/GDPR | 第32条:"适当的技术措施" | 最高€2000万/营业额4% |
| ISO 27001 | A.8.8:技术漏洞管理 | 认证风险 |
| PCI DSS 4.0 | 季度外部ASV扫描、内部扫描、年度渗透测试 | PCI不合规罚款 |
| 风险级别 | 面向互联网 | 内部关键 | 内部标准 |
|---|---|---|---|
| 严重 | 24小时 | 72小时 | 7天 |
| 高 | 7天 | 14天 | 30天 |
| 中 | 30天 | 60天 | 90天 |
| 低 | 90天 | 180天 | 下次维护 |
KENSAI扫描Web应用、API和基础设施,拥有332,000+ CVE持续更新的数据库。识别整个攻击面上的已知漏洞和配置错误。
超越CVSS:交叉引用活跃威胁情报,考虑真实世界的利用数据,通过智能分析减少误报,提供基于风险的优先排序,让您专注于重要事项。
每次扫描都会生成符合NIS2、DSGVO/GDPR、DORA和ISO 27001的报告——为审计员和监管机构提供漏洞处理和披露的文档证据。
为每个发现提供可操作的修复建议。减少关闭漏洞所需的时间和专业知识。
专业版:€990/月——适合成长型企业。企业版:€2,490/月——高级功能和更高的扫描量。
识别、评估、优先排序、修复和验证安全漏洞的持续过程。与一次性评估不同,这是一个持续的计划,具有结构化的发现、基于风险的优先排序和定义SLA的跟踪修复。
RBVM通过实际风险(威胁情报+资产重要性+暴露度)而非仅CVSS严重性进行优先排序。将可操作的积压工作减少80-90%,并将资源集中在真正危险的漏洞上。
CVSS评估严重性(静态,0–10)。EPSS预测利用概率(动态,每日更新)。两者结合使用,可提供严重性背景和利用可能性,实现卓越的优先排序。
关键/面向互联网:至少每周(首选每日或持续)。内部:每月最低。重大更改后:始终。趋势是持续扫描。
NIS2第21条明确要求"漏洞处理和披露"。合规计划必须证明系统化的发现、基于风险的优先排序、定义的SLA、验证、持续监控和文档化的流程。
严重/高风险漏洞的MTTR——它直接衡量您关闭最危险暴露窗口的速度。
安全不是可选项。
🗡️ KENSAI团队
Get a free security scan of your website in 60 seconds
Free Security Scan →