什么是暴露风险评估平台 (EAP)？

“暴露风险评估平台 (EAP) 可持续识别各类资产中的暴露风险（如漏洞和错误配置）并对其进行优先级分析。它们原生提供或集成发现功能（如评估工具），这些功能可列举暴露风险（如漏洞和配置问题），以提高可见性”--Gartner Peer^InsightsTM

EAP平台，旨在帮助企业识别、评估和管理其攻击面，也常被称为暴露风险管理平台或或 Continuous Threat Exposure Management (CTEM) 平台。Gartner® 创建了 EAP 术语，指代支持 CTEM 计划的特定工具集，这些工具旨在有效应对日益复杂的网络风险和网络安全问题。

“EAP 使用威胁情报 (TI) 等技术来分析企业的攻击面和弱点，并通过整合威胁态势、业务和现有安全控制上下文，对高风险暴露进行优先级分析。通过经优先级分析的可视化和处置建议，EAP 有助于为动员提供方向，识别参与缓解和修复的各个团队。EAP 主要以自托管软件或云服务的形式提供，并可能使用代理收集暴露风险信息”。

有效的暴露风险评估平台有助于将您的安全计划从被动应对转变为主动出击、以暴露风险为中心的方法。它提供统一的可视性和可操作的上下文，以支持 CTEM 流程和计划。

CTEM 计划包括五个关键阶段：

1. 范围界定：定义要评估的系统、资产和业务流程，从最关键的要素开始。

2. 发现：识别您环境中的所有资产和风险，包括漏洞、错误配置和恶意系统。

3. 优先级分析：根据漏洞利用的可能性和潜在业务影响，对暴露风险进行优先级分析，助您专注处理最重要的事情。

4. 验证：测试和模拟攻击，以确认哪些暴露风险是真正的威胁，并完善您的响应措施。

5. 动员：通过跨团队协调响应，对已验证的风险采取行动，进行修复、缓解或隔离。

EAP 通常支持五个阶段中的三个阶段，但根据具体 EAP 供应商平台的不同，会有一些差异。

EAP 提供：

• 发现您的资产和风险。
• 基于潜在影响，在上下文中对暴露风险进行优先级分析。

通过修复指导和指标动员团队，跟踪计划成效并优化投资。

下文概要介绍 EAP 如何实现关键用例：

发现

• 建立可信、统一的资产清单，包含丰富的上下文，涵盖供应商、类型、软件、配置、相关风险、用户等，覆盖您的整个攻击面。
  • 此步骤通过关系映射（如攻击路径、业务联系）支持更深入的洞察，从而做出更明智的决策。
• 网络安全机制 ，通过预构建的策略发现常见的安全机制问题，并通过自定义选项发现独特的风险模式。
  • 帮助团队跟踪安全机制发展趋势、调查受影响的资产并对修复进行优先级分析。

优先级分析

• 暴露风险优先级分析跨领域应用一致的评分 ，同时关联资产、身份和风险数据，以突出显示可行的攻击路径。
  • 在入侵开始之前，就能及早缓解针对高价值资产的威胁。

动员

• 暴露风险分析 ，生成与业务一致的仪表盘和报告，量化网络暴露风险并跟踪关键绩效指标 (KPI)，以改善与利益相关者的沟通并指导战略投资。
• 应急响应 ，对零日漏洞和严重威胁事件提供实时可见性，细化到受影响和已修复的资产级别，包括来自数百个来源的综合威胁情报，以支持快速响应。
• 威胁调查 ，为威胁猎手和事件响应团队赋能，为其提供详细的资产和风险情报，包括攻击路径数据和潜在业务影响，以加快调查和修复。

2025 年 Gartner Magic Quadrant (MQ) for Exposure Assessment Platforms (EAP) 对 20 家主要供应商进行了评估，这些供应商可帮助企业持续识别、进行优先级分析和减少整个攻击面的网络风险。

Gartner 根据每个供应商在两个关键轴上的表现，将其划分为不同的象限：

评估标准：

• 执行能力： 衡量供应商提供可靠产品、满足客户需求以及在当今市场中的表现。
   
• 愿景完整性：反映供应商对未来市场需求的理解以及满足这些需求的战略力度。

这些都是基于详细的评估标准，并确定每个供应商在四个象限中的位置。

魔力象限位置

• 领导者：提供强大的执行力和清晰的前瞻性愿景。
• 挑战者：在当前能力方面表现出色，但缺乏令人信服的长期愿景。
• 远见者：带来了创新理念，但尚未充分展示执行力。
• 利基市场参与者：专注于特定细分市场或地区，但在规模或路线图成熟度方面有限。

Tenable 跻身 2025 年魔力象限领导者行列

在 2025 年被公认为领导者的 EAP 供应商中，包括 Tenable、Rapid7 和 Qualys。

Tenable 凭借其通过 Tenable One 暴露风险管理平台提供的全面暴露风险管理能力，走在了前列。

Tenable One 通过提供以下功能，使贵企业能够从威胁制造者的角度审视您的攻击面：

• 所有资产和潜在访问点的完整、统一清单。
• 攻击者可利用的攻击路径和有害组合的可见性
• 与业务一致的风险上下文，以识别哪些威胁最重要
• 在攻击者站稳脚跟之前主动瓦解攻击链的能力

Tenable 提供的跨域可见性范围和基于上下文的风险优先级分析，是其能够在 Gartner 分析中赢得领导者地位的关键原因。

为有效保护贵企业的安全，您必须将目光投向 IT 资产之外。您真正的攻击面是由 IT、云基础设施、运营技术(OT) 和身份系统组成的复杂、交织的地图。

这些域并不是孤立的。它们之间联系紧密，形成了攻击者可以利用的复杂攻击路径。

例如，一个被入侵的身份可能使攻击者能够访问您关键的云数据，或具备破坏物理 OT 流程的能力。

要管理风险，首先需要全面了解这些环境是如何融合的，以及它们会产生哪些新的暴露风险。

您的安全堆栈可能包括各种可信和专业的解决方案：漏洞管理、云原生应用程序保护平台 (CNAPP)、Web 应用程序扫描、身份和访问管理等。

这些主动安全工具专注于特定的技术领域：IT、云、身份、OT、IoT、应用程序以及风险类型（如漏洞、错误配置和权限）。

根据最近的一项 (ISC)² 网络安全劳动力研究显示，安全团队往往人手不足，而这种孤岛式的方法迫使您的分析师手动连接不同控制台之间的信息。 这一过程缓慢、低效且容易出错。

然而，攻击者会将企业视为一个相互关联的系统，并善于利用各自为政的防御系统之间的安全漏洞。这正是 EAP 所要解决的难题。

《Verizon 数据外泄调查报告》的数据一致表明，攻击者并不只是利用得分最高的漏洞。他们使用那些能为其实现目标提供最简单路径的漏洞。

如果没有 EAP 所提供的资产重要性和攻击者路径分析，您的团队就有可能浪费宝贵的时间来修复那些无法有效降低业务风险的问题。

EAP 统一了不同工具之间的数据，为您的攻击面提供统一视图。它们映射资产、身份和风险关系，为您提供攻击路径和攻击者可利用以危害核心资产的 MITRE 技术的逐步可视化。

有了攻击者的视角，您的安全分析师可以专注打破那些可能对贵企业产生重大影响的攻击路径。

寻求实施 CTEM 计划的安全领导者提出的最常见问题之一是：我们从哪里开始入手？

虽然 EAP 提供了支持暴露风险管理计划所需的工具，但也有一些重要的人员和流程方面的考虑因素。

大多数成熟的企业都有现成的漏洞管理计划，通常领先于云或 OT 等其他安全域。 因此，漏洞管理计划通常比其他计划成熟度更高。 为此，行业分析师建议将漏洞管理计划发展成为暴露风险管理计划。

为了有效做到这一点，就应该扩大团队的任务范围，使其涵盖整个攻击面上的所有资产和风险类型、安全策略和工作流。这是从各自为政的漏洞管理实践演进到跨域暴露风险管理，成为漏洞管理团队的核心职责。这样做的目的是集中组织处理重要性职能的方式，以解放域团队，使其专注于自己的核心竞争力。

还想了解更多？请阅读这篇博文：“谁负责贵企业中的威胁和暴露风险管理？”

EAP 在此演进过程中扮演着关键角色，它将来自您所有工具的数据聚合到一个地方，并添加识别整个攻击面暴露风险所需的关键技术和业务上下文。然后，暴露风险管理团队可以提供针对性的暴露风险视图、建议操作、报告以及与 各所有者和业务部门保持一致的指标。

从传统的漏洞管理到全面的暴露风险管理计划的这一旅程，是您的安全部门所能做出的最重要的战略转变之一。

漏洞评估可识识别并修补已知漏洞，如 IT 资产上的软件缺陷（常见漏洞和暴露风险 (CVE)）。 其目标是根据技术严重性发现并修复各个弱点。

暴露风险评估的范围更广。它不仅关注 CVE，还包括配置错误、身份问题和潜在的攻击路径。暴露风险评估包含攻击者如何组合利用这些暴露风险以造成入侵的完整上下文，并帮助您根据业务的实际风险确定优先级。

获取 IDC Worldwide Device Vulnerability and Exposure Management Market Shares 报告。

有效的暴露风险评估平台可将您的安全计划从被动式转变为主动式，实现持续的安全态势验证。

现在，让我们探讨 EAP 功能如何整合为整体计划提供支持：

洞察秋毫，无论何处

暴露风险评估平台的基础功能可为您的安全团队提供全面、持续更新的资产清单。 它超越了传统的网络扫描，包括发现 IT 资产、云服务、Web 应用程序、容器化环境和关键身份系统。

EAP 还直接与特定域的安全工具集成，以收集相关资产和风险信息。 它聚合和规范化这些数据，以创建您攻击面中所有资产的单一统一视图，从而减少攻击者经常利用的盲点。

安全团队可以使用自然语言搜索运行特定的 AI 查询，以识别常见的安全机制问题，如代理缺失、软件报废、多因素身份验证 (MFA) 缺失或任何独特属性的组合。

从静态漏洞评分产生的无效发现结果中分离出真正的暴露风险

一旦 EAP 发现资产，它就会分析漏洞、错误配置和过度权限。它通过多层关键上下文对分析加以丰富。

它聚合每个资产的风险数据，并跨安全域进行规范化，以得出整体资产暴露风险评分 (AES)。

AES 考虑了关键变量，包括资产的业务重要性、威胁制造者的可访问性以及特定弱点的可利用性（例如 CISA 已知已遭利用的漏洞 (KEV) 目录） 以及最新的威胁情报。它将这些变量提炼为一个单一的、可理解的指标，一目了然地传达资产风险。这样就能快速了解哪些资产构成最大的整体风险。

这就是暴露风险评估平台的与众不同之处。 它不仅能识别资产和弱点，还能对关系进行映射。

团队可以即时将资产、身份和风险关系可视化。通过这些攻击路径，攻击者可以利用一系列看似低风险的暴露来获取核心资产。

它与业务保持一致并对攻击路径进行优先级分析，以便您的团队可以专注修复对贵企业构成最高潜在风险的暴露风险。

AI 驱动的修复指导可发现攻击路径中的特定瓶颈。通过了解这些链条（通常模仿攻击者的常见 TTP）和瓶颈，您的团队可以在最有可能发生入侵的情况之前主动加以瓦解。

EAP 还集成了数据外泄和攻击者模拟以及渗透测试工具等技术，Gartner 将此类技术称为对抗性暴露风险验证 (AEV)（Gartner，Market Guide for Adversarial Exposure Validation，作者：Eric Ahlm、Dhivya Poole 等，2025 年 3 月 11 日）。 然后，您可以主动测试和验证攻击路径是理论风险，还是对您的环境构成真正的、可利用性的威胁。

对暴露风险采取行动并进行量化，向利益相关者传达影响

一旦验证了暴露风险，EAP 就会在协调修复生命周期方面发挥关键作用。平台可以自动确定合适的资产所有者，并触发工作流操作，例如在 JIRA、ServiceNow 或 Slack 等工具中打开工单。

瓶颈详细信息和 AI 驱动的修复指导可通过建议适当的补丁、配置更改或补偿控制来加快响应速度。

EAP 可持续跟踪修复状态，监控 SLA 合规性，并确保各团队的问责制。

最后，EAP 可以帮助贵企业进行网络风险量化，以回答 "我们有多安全 "这个重要问题。

EAP 不是向领导层提供战术性 KPI（如已修补漏洞的数量），而是提供与业务一致的网络暴露风险评分。

然后，您可以跟踪暴露风险随时间推移的趋势，比较业务部门或同行企业之间的表现，并根据内部目标或行业标准进行基准衡量。

与业务一致的仪表盘便于向高管和董事会传达风险态势，并证明所需投资的合理性。

阅读博文“暴露风险管理如何帮助 Tenable 降低风险并与业务保持一致”，了解更多信息。

EAP 有许多重要的考量标准：

• 买家指南，如 《Tenable 暴露风险安全管理平台买家指南》，详细介绍了构成暴露评估平台的组件市场和所需功能，以及平台选择的其他战略考量。
• 分析师报告，如 2025 Gartner Magic Quadrant for Exposure Assessment Platforms 和 IDC MarketScape: Worldwide Exposure Management、2025 Vendor Assessment 是查看平台功能之外广泛标准的强大资源。

买家清单：暴露风险评估平台

• 全面覆盖：跨 IT、云、身份和 OT 的统一视图。
• 暴露风险优先级分析： 上下文感知型风险评分和攻击路径分析。
• 可操作的报告：清楚明了的修复指导和业务级仪表盘。
• 无缝集成：用于 SIEM、SOAR 和 ITSM 平台的强大 API。

如果想从被动安全方法转变为主动策略，就必须将暴露风险管理的最佳实践转化为切实可行的现实。这就需要合适的暴露风险评估平台。

Tenable 通过全面的方法提供这种能力，帮助贵企业建立和执行现代化、主动的 Continuous Threat Exposure Management (CTEM) 计划。

了解 Tenable One 如何为您提供整个攻击面统一的上下文暴露风险视图。立即申请演示。

随着暴露风险评估平台在网络安全领域的应用越来越普遍，许多安全专业人员常会提出问题。让我们来看看并回答部分问题：

暴露风险管理与漏洞管理的主要区别是什么？

暴露风险管理与漏洞管理的主要区别在于，暴露风险管理是一种整体战略，可评估所有类型的资产、弱点及其关系，以获得攻击路径和潜在业务暴露风险的优先级视图。漏洞管理的重点是发现个别 CVE 进行优先级分析，而忽略了更广泛的上下文信息。

暴露风险评估平台如何帮助进行攻击面管理？

暴露风险评估平台通过提供跨您整个攻击面上资产的全面视图、其相关风险、关系以及上下文洞察，以优化安全机制并减少潜在业务暴露风险，从而帮助进行攻击面管理。

EAP 可以发现哪些类型的暴露风险？

EAP 可以发现各种暴露风险，包括软件漏洞 (CVE)、云服务配置错误、不安全的用户权限、暴露的 Web 应用程序服务和身份系统缺陷等等。

为什么 CVSS 不足以进行优先级分析？

CVSS 得分侧重于技术严重性，缺乏丰富优先级分析的重要变量，如可访问性、可利用性、威胁情报和业务上下文。EAP 将这些额外的变量考虑在内。

暴露风险评估平台如何帮助 CISO？

EAP 将复杂的技术数据转化为清晰的业务风险指标，使 CISO 能够更有效地向董事会和高管传达安全和业务风险，以证明安全投资的合理性。

了解 Tenable One 如何为您提供整个攻击面的统一视图。立即申请演示。

GARTNER 是 Gartner, Inc. 和/或其关联公司在美国和国际上的注册商标和服务标志，PEER INSIGHTS 是 Gartner, Inc. 和/或其关联公司的注册商标，并经许可在此使用。保留所有权利。

Gartner Peer Insights 内容包含各最终用户基于其自身经验的观点，不应被解释为事实陈述，也不代表 Gartner 或其关联公司的观点。Gartner 不对本内容中描述的任何供应商、产品或服务背书，也不对本内容的准确性或完整性作出任何明示或暗示的保证，包括对适销性或特定用途的适用性的任何保证。

该图表由 Gartner, Inc. 发布，包含在更大的研究文档中，应在整个文档的上下文中下进行评估。Gartner 文档可向 Tenable 索取。