在采訪中，Nucleus Security的首席執行官Steve Carter討論了漏洞管理方面持續存在的挑戰，包括漏洞優先級排序和解決補丁延遲問題。

Carter還談到了合規要求以及自動化如何簡化漏洞管理流程。

盡管技術不斷進步，你認為為什么像漏洞優先級排序和補丁延遲這樣的挑戰仍然存在?

企業基礎設施日益復雜、攻擊面不斷擴大以及漏洞和暴露檢測能力的提高，都導致必須進行分類的發現數量急劇增加。例如，我們已接近發布25萬個CVE，年增長率為16%。大多數企業既沒有充足的人員配備，也沒有適當的技術來應對源源不斷的漏洞。在很多方面，這是一場數字游戲，安全團隊根本跟不上。

基于風險的漏洞管理越來越受到重視。你對于有效確定漏洞優先級有哪些建議策略?

關鍵在于建立一個涵蓋所有類型漏洞、暴露和安全發現的全企業優先級排序流程。漏洞掃描器和態勢管理工具在嚴重等級評定和風險評分方面并不一致，因此不能用于一致的優先級排序方法。必須明確對于每個企業來說，漏洞或安全發現必須滿足哪些條件才能被歸類為嚴重或高風險。

漏洞情報可以為安全團隊提供確定哪些漏洞需要他們關注的必要細節。例如，了解漏洞是否正在被積極利用、哪些威脅行為者正在使用它，以及是否有可用的補丁，可以幫助漏洞管理分析師確定威脅級別。將這一情報與企業既定的風險閾值進行權衡，就為決策提供了堅實的基礎。

合規要求對漏洞管理策略有何影響，企業常常忽視哪些合規挑戰?

在醫療保健、金融服務和政府等高度監管的行業，合規通常通過規定漏洞緩解時間表和施加專門的報告要求來影響漏洞管理策略。漏洞檢測和暴露管理能力已經擴展，現在包括身份、數據管理和SaaS系統的評估，這顯著增加了必須跟蹤和報告的發現數量和類型，而安全和合規團隊往往忽視了這一點。

監管的一個不幸但常見的后果是，它往往成為安全工作的唯一焦點。企業在追求合規的過程中，可能會選擇成本最低的路線，這對整體安全計劃可能是有害的。至關重要的是，不要忽視最終目標：最大限度地降低風險并保護企業最關鍵的資產。

自動化通常被視為解決漏洞管理挑戰的方案。你認為自動化在哪些方面影響最大，又有哪些局限性?

提高自動化程度是擴展漏洞和暴露管理程序的唯一途徑。自動化可以產生的最大影響之一在于漏洞和安全發現的統一、豐富和企業。這些是優先級排序過程中最耗時的步驟，而且手動執行時極易出錯。這些步驟的自動化使得漏洞分類和優先級排序能夠采用一致的方法。

自動化在推動包括開票和事件響應在內的補救工作流程方面也極具影響力。歷史上，補救和緩解活動的任務分配是手動執行的，因為每個企業都有自定義的工作流程來確定誰應該修復漏洞、何時應該完成修復、需要什么信息等。現在已有技術可以自動化這些流程并跟蹤補救直至完成，從而加速了這一過程并消除了人為錯誤。

在漏洞管理的背景下，自動化的最大局限性在于響應漏洞檢測而進行的補丁和配置更改的完全自動化。特別是在運營環境中，更新某些關鍵應用程序和服務必須嚴格管理，以避免中斷。

你認為近期有哪些新興的漏洞管理趨勢是企業需要為不久的將來做準備的?

公開披露的漏洞數量不斷增加，而且沒有停止的跡象。我們預計，AI發現開源軟件和商業產品中漏洞的能力只會加劇這一問題。此外，我們預計由于攻擊者使用AI，漏洞利用時間(披露后)將縮短。企業必須制定一項戰略和計劃，使其能夠在全企業范圍內加快漏洞分類和響應時間，以適應這種不斷發展的威脅環境。