什么是风险暴露评估平台 (EAP)？

"暴露风险评估平台"（EAP）可持续识别和优先处理各种资产类别中的暴露风险，如漏洞和配置错误。 它们本机提供或与评估工具等发现功能集成，这些功能列举了暴露的风险，如漏洞和配置问题，以提高可见性"--Gartner Peer^InsightsTM

An exposure assessment platform (EAP) is also commonly referred to as an exposure management platform or continuous threat exposure management (CTEM) platform. Gartner® created the EAP term to refer to a specific set of tools that support a CTEM program.

"EAP "使用威胁情报（TI）等技术分析组织的攻击面和弱点，并结合威胁形势、业务和现有安全控制背景，对高风险暴露进行优先处理。 通过优先级可视化和处理建议，EAP 帮助提供动员方向，确定参与缓解和修复的各个团队。 EAP 主要以自托管软件或云服务的形式提供，并可能使用代理进行暴露风险信息收集"。

有效的暴露风险评估平台有助于将您的安全计划从被动应对转变为主动出击、以暴露风险为中心的方法。 它提供统一的可视性和可操作的上下文，以支持 CTEM 流程和计划。

CTEM 计划包括五个关键阶段：

1. Scoping to define which systems, assets and business processes to assess, starting with the most critical.

2. Discovery to identify all assets and risks, including vulnerabilities, misconfigurations and rogue systems across your environment.

3. Prioritization to rank exposures by likelihood of exploitability and potential business impact to focus efforts where they matter most.

4. 验证测试和模拟攻击者，以确认哪些暴露风险是真正的威胁，并完善您的 Response。

5. Mobilization to act on validated risks by remediating, mitigating or isolating them through coordinated response across teams.

EAP 通常支持五个阶段中的三个阶段，但根据具体 EAP 供应商平台的不同，会有一些差异。

EAP 提供

• 发现您的资产和风险。
• 根据潜在影响确定背景下暴露风险的优先次序。

利用修复指导和衡量标准调动团队，跟踪计划成效并优化投资。

下文概述了 EAP 如何实现关键用例：

发现

• 建立一个可信的 统一资产清单 ，其丰富的上下文涵盖供应商、类型、软件、配置、相关风险、用户等整个攻击面。
  • 这一步骤通过关系映射（如攻击者路径、业务联系）支持更深入的洞察，从而做出更明智的决策。
• 网络安全机制 ，通过预置策略发现常见的安全问题，并通过自定义选项发现独特的风险模式。
  • 帮助团队跟踪卫生趋势、调查受影响的资产并优先进行修复。

优先级分析

• 暴露风险优先级在 各域应用一致的评分 ，同时关联资产、身份和风险数据，以突出可行的攻击路径。
  • 在入侵开始之前，就能及早缓解针对高价值资产的威胁。 

动员

• 暴露风险分析 ，生成与业务相匹配的仪表盘和报告 ，量化 Cyber Exposure 并跟踪关键绩效指标 (KPI)，以改善与利益相关者的沟通并指导战略投资。
• 应急响应 ，实时了解 零时差 和重要性威胁事件，直至受影响和已修复资产的级别。 包括来自数百个来源的综合威胁情报，以支持快速反应。
• 威胁调查 ，为威胁猎手和事件响应团队提供详细的资产和风险情报，包括攻击路径数据和潜在业务影响，以加快调查和修复。

2025 年 Gartner 曝光评估平台（EAP）魔力象限（MQ）对 20 家主要供应商进行了评估，这些供应商可帮助企业持续识别、优先处理和减少整个攻击面的网络风险。

Gartner 根据每个供应商在两个关键轴上的表现，将其划分为不同的象限：

评估标准：

• 执行能力： 衡量供应商提供可靠产品、满足客户需求以及在当今市场中的表现。
   
• 视野的完整性： 反映供应商对未来市场需求的理解以及满足这些需求的战略力度。

这些都是基于详细的评估标准，并确定每个供应商在四个象限中的位置。

魔力象限位置

• 领导者要有强大的执行力和清晰的前瞻性愿景。
• 挑战者擅长当前能力，但缺乏令人信服的长期愿景。
• 有远见的人带来了创新理念，但尚未充分展示执行力。
• 利基型企业专注于特定细分市场或地区，但规模或路线图成熟度有限。

Tenable 跻身 2025 年魔力象限领导者行列

被评为 2025 年领先企业的 EAP 供应商包括 Tenable、Rapid7 和 Qualys。

Tenable is at the forefront, recognized for its comprehensive exposure management capabilities through the Tenable One Exposure Management Platform.

Tenable One 通过提供以下功能，使您的组织能够从威胁制造者的角度查看您的攻击面：

• 完整、统一的所有资产和潜在接入点清单。
• 对手可利用的攻击路径和有毒风险组合的可见性
• 与业务相匹配的风险背景，以确定哪些威胁最重要
• 在攻击者站稳脚跟之前主动瓦解攻击链的能力

Tenable 所提供的跨域可视性范围和基于上下文的风险优先级排序是其在 Gartner 分析中获得领先地位的关键原因。

要有效保护组织的安全，您必须将目光投向 IT 资产之外。 您真正的攻击面是由 IT、云基础设施、运营技术(OT) 和身份系统组成的复杂、交织的地图。

这些域并不是孤立的。 它们之间联系紧密，形成了复杂的攻击路径，对手可加以漏洞利用。

例如，一个受到威胁的身份可能会让攻击者访问您的重要云数据或破坏物理 OT 流程。

要管理风险，首先需要全面了解这些环境是如何融合的，以及它们会产生哪些新的暴露风险。

您的安全堆栈可能包括各种可信和专业的解决方案：漏洞管理、云原生应用程序保护平台（CNAPP）、Web 应用程序扫描、身份和访问管理等等。

这些前瞻性安全工具重点关注特定技术域、IT、云、身份安全、OT、物联网、应用程序，以及漏洞、配置错误和权限等风险类型。

根据最近的(ISC)² 网络安全人员研究报告，安全团队往往捉襟见肘，这种各自为政的方法迫使分析人员在不同的控制台之间手动连接点。 这一过程缓慢、效率低下且容易出错。

然而，攻击者会将企业视为一个相互关联的系统，并善于利用各自为政的防御系统之间的安全漏洞。 这正是 EAP 所要解决的难题。

Verizon 数据外泄调查报告》的数据一致显示，攻击者并不只是利用得分最高的漏洞。 他们使用最容易达到目标的方法。

如果没有 EAP 所提供的资产重要性和攻击者路径分析，您的团队就有可能花费宝贵的时间来修复那些无法有效降低业务风险的问题。

EAPs unify data across disparate tools for a unified view of your attack surface. They map asset, identity and risk relationships to give you a step-by-step visualization of attack paths and MITRE techniques attackers can exploit to compromise crown jewel assets.

有了攻击者的视角，您的安全分析人员就可以集中精力破解会对企业造成重大影响的攻击路径。

对于希望实施 CTEM 计划的安全领导者来说，最常见的问题之一就是："我们该怎么做？ 我们从哪里开始入手？

虽然 EAP 提供了支持暴露风险管理计划所需的工具，但也有一些重要的人员和流程方面的考虑因素。

大多数成熟的组织都有现成的漏洞管理计划，通常领先于云或 OT 等其他安全域。 因此，漏洞管理计划通常比其他计划成熟度更高。 为此，行业分析师建议将漏洞管理计划发展成为暴露风险管理计划。

要想有效地做到这一点，就应该扩大团队的任务范围，将整个攻击面的所有资产和风险类型、安全策略和工作流都纳入其中。 这是从各自为政的漏洞管理实践发展到跨域暴露风险管理，成为漏洞管理团队的核心职责。 这样做的目的是集中组织处理重要性职能的方式，以解放域团队，使其专注于自己的核心能力。

还想了解更多？ Check out this blog, “Who owns threat and exposure management in your organization?”

EAP 将所有工具中的数据汇总到一个地方，并添加识别整个攻击面暴露风险所需的重要性技术和业务数据，从而在这一演变过程中发挥关键作用。 然后，暴露风险管理 团队可以提供有针对性的暴露风险 View、建议行动、报告和指标，并与个人所有者和业务单位保持一致。

从传统的漏洞管理到全面的暴露风险管理计划，这是您的安全经理所能做出的最重要的战略转变之一。

漏洞评估可识别和补丁 IT 资产上已知的漏洞，如软件缺陷（常见漏洞和暴露风险(CVE)）。 其目标是根据技术严重性发现并修复个别弱点。

暴露风险评估的范围更广。 它不仅关注 CVE，还包括配置错误、身份问题和潜在的攻击路径。 暴露风险评估包括攻击者如何将这些暴露风险结合起来造成入侵的全部背景，并帮助您根据业务的实际风险确定优先级。

获取 IDC 全球设备漏洞和暴露风险管理市场份额报告。

有效的暴露风险评估平台可将您的安全计划从被动式转变为主动式，实现持续的安全态势验证。

现在，让我们来探讨一下 EAP 功能如何为整体计划提供支持：

随处可见

暴露风险评估平台的基础功能可为您的安全团队提供全面、持续更新的资产清单。 它不仅仅是传统的网络扫描。 它包括发现 IT 资产、云服务、网络应用程序、容器化环境和重要性身份系统。

EAP 还与特定域的安全工具直接集成，以收集相关资产和风险信息。 它将这些数据聚合并规范化，以创建一个单一、统一的视图，显示整个攻击面的所有资产，从而减少攻击者经常利用的漏洞盲点。

安全团队可以使用自然语言搜索运行特定的 AI 查询，以识别常见的安全卫生问题，如代理缺失、软件报废、多因素身份验证（MFA）缺失或任何独特属性的组合。

将暴露风险与静态漏洞评分造成的嘈杂发现结果区分开来

一旦 EAP 发现资产，它就会分析漏洞、配置错误和过多权限。 它以多层次的重要性背景丰富了分析内容。

It aggregates risk data for each asset and normalizes it across security domains to come up with an overall asset exposure score (AES).

AES factors in key variables, including an asset's business criticality, accessibility by threat actors, the exploitability of a specific weakness, such as CISA Known Exploited Vulnerabilities (KEV) Catalog and up-to-the-minute threat intelligence. It distills this down to a single, understandable metric that communicates asset risk at a glance. This makes it possible to quickly understand which assets pose the greatest overall risk.

这就是暴露风险评估平台的与众不同之处。 它不仅能识别资产和弱点，还能绘制关系图。

团队可以立即将资产、身份和风险关系可视化。 通过这些攻击路径，攻击者可以利用一系列看似低风险的暴露来获取皇冠上的资产。

它可对攻击路径进行业务调整和优先排序，以便您的团队能够集中精力修复对企业构成最大潜在风险的暴露风险。

人工智能驱动的修复指导可发现攻击路径中的特定阻塞点。 通过了解这些链条（通常模仿对手的常见 TTP）和阻塞点，您的团队可以在最有可能发生入侵的情况发生之前主动加以破坏。

EAP 还集成了漏洞和攻击者模拟以及渗透测试工具等技术，Gartner 将此类技术称为对抗性暴露风险验证 (AEV)（Gartner，《对抗性暴露风险验证市场指南》，作者 Eric Ahlm、Dhivya Poole 等，2025 年 3 月 11 日）。 然后，您就可以积极测试和验证攻击路径是理论上的风险，还是对您的环境构成真正的、可利用性的威胁。

对暴露风险采取行动并进行量化，向利益相关者传达影响

一旦验证了暴露风险，EAP 就会在协调修复生命周期方面发挥重要作用。 该平台可自动确定适当的资产所有者，并触发工作流操作，如在JIRA、ServiceNow 或 Slack 等工具中打开工单。

窒息点详情和人工智能驱动的修复指导可通过建议适当的补丁、配置更改或补偿控制来加快响应速度。

EAP 可持续跟踪修复状态，监控服务水平协议的合规性，并确保各团队的问责制。

最后，EAP 可以帮助贵组织进行网络安全风险量化，以回答 "我们有多安全 "这一重要性问题。

EAP 不是向领导层提供战术性 KPI（如已修补漏洞的数量），而是提供与业务相匹配的Cyber Exposure 评分。

然后，您可以跟踪一段时间内的暴露风险趋势，比较各业务部门或同行组织的绩效，并根据内部目标或行业标准制定基准衡量。

与业务相匹配的仪表盘便于向高管和董事会传达风险状况，并证明所需投资的合理性。

Learn more in our blog, “How Exposure Management Has Helped Tenable Reduce Risk and Align with the Business.”

There are many important criteria to look for in an EAP:

• Buyer guides, like the Tenable Buyer Guide for Exposure Management Platforms, detail component markets and required features that comprise exposure assessment platforms along with other strategic considerations for platform selection.
• 分析报告，如《2025 年 Gartner 曝光风险评估平台魔力象限》和IDC MarketScape： 全球暴露风险安全管理平台》、《2025 年供应商评估》 ，是考察平台能力以外的各种标准的强大资源。 

买家清单 暴露风险评估平台

• Comprehensive coverage: 跨 IT、云、身份和 OT 的统一视图。
• 暴露风险优先级： 情境感知风险评分和攻击路径分析。
• 可操作的报告： 明确的修复指导和业务级仪表盘。
• 无缝集成： 用于 SIEM、SOAR 和 ITSM 平台的强大 API。

如果想从被动的安全方法转变为主动的战略，就必须将暴露风险管理的最佳实践变成切实可行的现实。 这就需要合适的暴露风险评估平台。

Tenable 通过全面的方法提供这种能力，帮助您的组织建立和执行现代化、主动的持续威胁暴露风险管理(CTEM) 计划。

了解 Tenable One 如何为您提供统一的上下文视图，让您了解整个攻击面的暴露风险。 立即申请演示。

随着暴露风险评估平台在网络安全领域的应用越来越普遍，会出现许多安全专业人员经常提出的问题。 让我们来看看并回答其中的一些问题：

暴露风险管理与漏洞管理的主要区别是什么？

暴露风险管理与漏洞管理的主要区别在于，暴露风险管理是一种整体战略，它评估所有类型的资产、弱点及其关系，以优先查看攻击路径和潜在的业务风险。 漏洞管理的重点是发现个别 CVE 并确定其优先次序，而忽略了更广泛的背景。

暴露风险评估平台如何帮助进行暴露风险安全管理平台？

暴露风险评估平台通过全面查看整个攻击面的资产、其相关风险和关系以及上下文见解来优化安全卫生和减少潜在的业务暴露，从而帮助进行暴露风险管理。

EAP 可以发现哪些类型的暴露风险？

EAP 可以发现各种暴露风险，包括软件漏洞 (CVE)、云服务配置错误、不安全的用户权限、暴露的 Web 应用程序服务和身份系统漏洞等等。

为什么 CVSS 不足以确定优先级？

CVSS 得分侧重于技术严重性，缺乏丰富优先级排序的重要变量，如可利用性、漏洞利用性、威胁情报和业务背景。 EAP 将这些额外的变量考虑在内。

暴露风险评估平台如何帮助 CISO？

EAP 将复杂的技术数据转化为清晰的业务风险指标，这样 CISO 就能更有效地向董事会和安全管理人员传达安全和业务风险，从而证明安全投资的合理性。

See how Tenable One can give you a unified view of your entire attack surface. Request a demo today.

GARTNER 是 Gartner 公司和/或其关联公司在美国和国际上的注册商标和服务商标，PEER INSIGHTS 是 Gartner 公司和/或其关联公司的注册商标，经许可在此使用。 保留所有权利。

Gartner Peer Insights 内容由最终用户根据自身经验发表的个人观点组成，不应被视为事实陈述，也不代表 Gartner 或其附属机构的观点。 Gartner 不认可本内容中描述的任何供应商、产品或服务，也不对本内容的准确性或完整性做出任何明示或暗示的保证，包括对适销性或特定用途的适用性做出任何保证。

本图表由 Gartner 公司发布，是一份大型研究文件的一部分，应结合整份文件进行评估。 Gartner 的文件可向 Tenable 索取。