漏洞管理的困境

漏洞管理的被動性疊加政策流程的延遲，使安全團隊不堪重負。根據我們漏洞運營中心（VOC）的數據分析，在68,500個客戶資產中發現了1,337,797個獨立安全事件，其中32,585個為不同CVE（通用漏洞披露）編號，10,014個CVSS（通用漏洞評分系統）評分≥8分。外部資產存在11,605個獨特CVE，內部資產則高達31,966個。面對如此龐大的漏洞數量，部分漏洞未能及時修補導致系統淪陷已不足為奇。

本文將探討漏洞報告現狀、基于威脅和利用可能性的優先級排序方法，分析統計概率并簡要討論風險應對。最后我們將提出降低漏洞影響的解決方案，同時為管理團隊提供危機響應的靈活策略。

CVE體系的局限性

西方國家普遍采用由MITRE和NIST（美國國家標準與技術研究院）主導的CVE和CVSS體系。截至2025年4月，運行25年的CVE項目已發布約29萬條記錄（含"已拒絕"和"延期"條目）。NIST國家漏洞數據庫（NVD）依賴CVE編號機構（CNA）進行初始評估，這種機制雖提升效率但也引入偏差。研究者與廠商對漏洞嚴重性的分歧常導致關鍵漏洞披露延遲。

2024年3月的行政延誤造成NVD積壓24,000條未處理的CVE記錄。2025年4月，美國國土安全部終止與MITRE的合同更引發行業對CVE體系未來的擔憂，所幸在業界強烈反響下最終延續了資金支持。

中國自2009年運營的CNNVD漏洞庫[5]雖具技術價值[6,7]，但受政治因素影響難以國際合作。值得注意的是，并非所有漏洞都會立即披露（形成盲區），而未被發現的零日漏洞更持續被利用。2023年谷歌威脅分析組（TAG）和Mandiant共發現97個零日漏洞，主要影響移動設備、操作系統和瀏覽器。相比之下，CVE詞典中僅約6%的漏洞曾被利用，2022年研究顯示半數企業每月僅修復15.5%或更少的漏洞。

威脅情報驅動的決策

盡管存在缺陷，CVE系統仍提供有價值的漏洞情報。為應對海量漏洞，需優先處理最可能被利用的威脅。事件響應與安全團隊論壇（FIRST）開發的EPSS（漏洞利用預測評分系統）能預測漏洞在野利用概率。安全團隊可據此選擇廣泛修補策略或重點防御關鍵漏洞，兩者各有利弊。

為驗證覆蓋范圍與效率的平衡，我們分析某公共部門客戶的397個漏洞掃描數據。如圖所示，當考慮前264個漏洞時，利用概率的縮放計算已接近100%，而此時最高單個漏洞EPSS評分仍低于11%。這說明在系統規模擴大時，僅依賴EPSS進行優先級排序將面臨巨大挑戰。

攻擊者的成功概率

通過概率模型分析可得出三個關鍵結論：

• 攻擊者成功率隨目標系統數量呈指數增長：針對100個系統時，中等技能攻擊者的成功概率已接近100%
• 企業內網通常存在數千臺設備，單點突破即可橫向移動
• 專業滲透測試人員對互聯網目標的平均成功率約為30%

重構漏洞管理范式

當前以CVE為核心的漏洞管理模式已難以應對挑戰，建議轉向"威脅緩解"與"風險降低"雙軌制：

威脅緩解措施：

• 重點防護互聯網暴露面系統
• 動態響應流程整合補丁、配置調整、補償控制等手段
• 將EPSS作為威脅情報的輔助工具

風險降低策略：

• 收縮攻擊面：清理未管理的互聯網暴露資產
• 限制影響范圍：通過網絡分段、零信任架構控制橫向移動
• 提升基線安全：系統化減少漏洞數量與嚴重性，優先投資回報率高的改進

2030安全戰略框架

未來安全建設應關注：

• 源頭治理：將安全融入系統設計與供應鏈管理
• 威脅建模：通過攻防演練驗證防御有效性
• 架構革新：實施SASE和零信任戰略
• 默認安全：建立強制性的安全基線標準

（注：本文核心觀點來自Orange Cyberdefense高級安全研究員Wicus Ross）