ESG 报告: Elevating Security with Risk-based Vulnerability Management

安全风险管理需要有效的漏洞管理，时间点漏洞评估或临时漏洞评估远远不够。尽管评估工作不可或缺，但只是对管理现代 IT 环境中的安全风险和态势至关重要的更广泛计划的一部分。

此 Enterprise Strategy Group (ESG) 白皮书探讨了对基于风险的漏洞管理（RBVM）计划的需求，以有效降低风险并增强安全态势。该报告展示了 Tenable Vulnerability Management 的价值所在，这是一个现代化的专用平台，是帮助企业从漏洞评估演进到现代漏洞管理计划的核心。

原有的 [漏洞评估] 工具本身价格可能更低，但为了对发现结果采取有效行动而额外投入的人力工时，最终会比节省的软件成本更高。（Tenable 译文）

研究要点：

• 企业当前的漏洞管理流程和工具面临多重挑战，28% 的企业在使用非自动化工具时感到困难，28% 的企业对没有提供补丁的漏洞缺乏详细的跟踪功能
• 76% 的企业因未知、未管理或管理不善的面向互联网的资产遭受过网络攻击
• 四分之一以上的企业依靠风险分数来对漏洞进行优先级分析，如来自攻击面管理系统 (28% 的企业引用) 或漏洞管理工具 (28%) 的分数，近三分之一（30%）的企业根据业务重要程度对漏洞进行优先级分析

原文：Enterprise Strategy Group by TechTarget，白皮书：Elevating Security With Risk-based Vulnerability Management，作者 David Vance，高级分析员，2024 年 6 月