3% 规则：如何消除 97% 的云警报并提高安全性

优先处理需要修复的事项及其重要性

云的基本保证是速度快，规模大。然而，对于安全团队而言，这种大规模特点已成为主要不利因素。我们正身处一个云安全悖论之中：各企业部署的扫描工具比以往任何时候都要多，但这些工具对实际风险状况的了解却前所未有地低。

业界的标准一直是依靠数量来衡量成功与否。我们发现了多少问题？我们打了多少补丁？但在现代云环境中，数量不是指标，而是负担。当安全团队被成千上万个理论上严重性为“严重”的警报淹没时，他们被迫陷入被动应对的状态。漏洞小组对这种情况再熟悉不过了。

数据显示效率极低：虽然传统工具将约 60% 的漏洞标记为“高危”或“严重”，但 Tenable Research 显示，只有约 1.6% 至 3% 的漏洞代表真正的、可利用的业务风险。 这迫使团队将绝大部分时间用于处理无效警报而非风险。

要使云安全计划成熟度更高，就必须停止基于严重性的优先级分析，而开始采用基于可利用性的优先级分析。是时候从漏洞管理转变为暴露风险管理了。

理论风险的运营成本

通用漏洞评分系统 (CVSS) 一直是优先级分析的默认标准。然而，CVSS 缺乏必要的业务上下文，无法在所有域（尤其是云中）发挥有效作用。CVSS 衡量的是软件漏洞在孤立环境中的严重性。该指标不考虑资产的上下文。是否公开？是否有特权？是否在访问敏感数据？

如果您的团队仅仅按照 CVSS 排序的列表解决问题，他们就是在把宝贵的时间浪费在处理理论缺陷上，而真正的攻击路径仍然敞开着。目标不是解决更多问题，而是解决重要问题。俗话说得好：“事事皆重要，实则失却重心。”

有害组合：界定真正的风险

在现代安全领域，基本上每次数据外泄都是身份数据外泄。虽然配置错误或漏洞可能是攻击者的最初突破口，但正是身份，特别是其授权和特权，让安全事件从“糟糕”变得“更糟糕”。

数据外泄事件很少单独出现，但往往发生在公开暴露风险、漏洞和特权身份的精确交叉点上。 这种融合，即有害组合，为攻击者制造了完美风暴。

众所周知，将这些因素关联起来非常困难，因为数据往往分散孤立：漏洞数据在一个工具中，IAM 数据在另一个工具中，而网络暴露风险则在第三个工具中。如今，对安全团队的要求就是弥合这些缺口，将原始数据转化为上下文信息，转化为清晰的洞察，转化为行动。

真正的风险是由这三个因素共同决定的，而这正是攻击者所津津乐道的：

• 公开暴露风险： 该资产可从互联网上获取。
• 严重漏洞：软件包含已知的可利用漏洞。
• 高特权或授权： 相关身份具有广泛的权限（如 Admin 或 Root 权限）。

在有害组合中，漏洞往往会打开大门，但高权却让攻击者掌控一切。尽管危险显而易见，但根据《2025 年 Tenable 云安全风险报告》，近29% 的企业目前至少有一个工作负载是在这种设置下运行的。

这些组合是威胁制造者的主要攻击目标，因为它们为数据渗漏、勒索软件或其他恶意影响提供了直接途径。识别并修复这些特定的交叉点，而非盲目追逐一份通用的 CVE 列表，正是区分“无效忙碌”与通过解决实际暴露风险来降低风险的关键所在。

叠叠乐 (Jenga®) 效应：AI 和身份的继承风险

AI 的快速应用和云服务的分层特性（Tenable Cloud Research 将其称为“叠叠乐效应”）加剧了优先级分析的难度。

在部署 AI 工作负载时，企业往往会从提供商处继承有风险的默认配置。例如， 根据《2025 年 Tenable 云 AI 风险报告》可知，90.5% 配置了 Amazon SageMaker 的企业至少在一个笔记本实例中默认启用了 root 访问权限。如果堆栈的基础模块不安全，整个工作负载都会受到影响。

此外，身份已成为攻击者的首要目标和目的。 您可以为环境中的每一个软件打上补丁，但如果攻击者入侵了一个特权过高的身份，他们并不需要利用这些漏洞。他们只需登录即可。根据《2024 年 Tenable 云研究报告》的调查结果可知，84% 的企业拥有未使用或长期未使用的具有重要权限的访问密钥，因此身份安全态势管理不再是可有可无。

成熟的暴露风险管理策略必须以与处理软件漏洞相同的紧迫性来处理身份风险和 AI 配置错误。

实施暴露风险管理

要缩小云安全中的效率差距，安全领导者必须采用云原生应用程序保护平台 (CNAPP)，该平台可统一可见性，并根据上下文强制进行优先级分析。

下面介绍如何转变运营模式：

1. 保持势头（5 分钟审核）

麻痹大意是安全的大敌。面对堆积如山的警报，团队往往会不知所措。Tenable Cloud Security 的“如果您只有 5 分钟”小组件打破了这种僵局。这项功能并非着眼于深入的取证分析，而在于安全机制与持续推进的势头。它识别出那些立即显而易见的“快速制胜情形”，比如一个公开暴露的 S3 存储桶或一个可以立即修复的非活动密钥。这样，即便工作忙忙碌碌，您也能有所收获，而不是一无所获。在您准备实施更为深入的工作时，它能防止“安全机制债务”堆积。这里是安全团队重点关注初级员工的好地方。

2. 攻击有害组合

一旦处理好快速制胜问题，就应将重点转移到战略风险上。这是您针对有害组合的地方。这是您运用最佳资源的地方。 通过关联身份、网络和漏洞数据，您可以识别出可能造成数据外泄的 3% 警报。修复这些暴露风险后，企业的风险就会明显降低，这正是您可以向董事会汇报的成果。

3. 将修复工作转向源头

“ClickOps”这种在云控制台手动调整设置的做法效率低下且效果短暂。下一次部署往往会将修复的地方覆盖掉。

成熟的企业会将安全融入开发生命周期。Tenable Cloud Security 可将运行时问题追溯到产生这些问题的特定基础设施即代码 (IaC)。然后，它可以自动生成包含必要代码更改的拉取请求。

这一做法同样适用于身份。该平台不估算权限，而是分析实际使用行为，生成最小特权策略，这会自动剥离未使用的访问权限。

结语：基于价值的安全防护

衡量云安全计划成功与否的标准不再是“解决警报的数量”，而是暴露风险的数量明显减少。

我们无法根据云的增长来扩展我们的团队，但我们可以扩展我们的智能。通过利用上下文来识别造成业务风险的 3% 的暴露风险，您就可以将企业从对无效警报被动应对的状态转变为积极主动地优先处理和修复暴露风险。

查看实际应用情形

下面的简短演示将带您体验真实的云 AI 环境，并展示 Tenable 如何识别工作负载、揭示隐藏的风险并突出显示最重要的问题。

该演示快速、直观地介绍了暴露风险管理，让您切实体验实际应用。

了解更多有关如何基于重要事项对云风险进行优先级分析的信息。

（Jenga® 是 Pokonobe Associates 拥有的注册商标。）