CISOs advised to rethink vulnerability management as exploits sharply rise

漏洞与利用激增，安全团队需转向基于风险的修补方法

企业攻击面持续快速扩张，2025年上半年披露了超过2万个新漏洞，给本已压力重重的安全团队带来更大负担。

根据威胁情报公司Flashpoint的《全球威胁情报指数》研究，这些漏洞中近35%（6,992个）已存在公开可用的利用代码。自2025年2月底以来，披露漏洞数量增长超过三倍，而利用代码数量也增长超过一倍。

Flashpoint认为，这些增长使得大多数组织不再可能对每个漏洞进行分类、修复或缓解，建议企业需要采用基于风险的修补框架。但CSO咨询的一些专家更进一步——认为需要对漏洞管理实践进行全面的运营改革。

基于风险的修补：日益增长的必要性

Flashpoint首席执行官Josh Lefkowitz表示，披露漏洞和公开可用利用代码的激增反映了威胁格局的变化。

“攻击者在漏洞出现后几小时内就会操作利用，通常远在防御者能够从公共来源获取可靠数据之前，”Lefkowitz告诉CSO。

暴露与响应之间不断扩大的差距使得安全团队依赖传统方法变得不切实际。根据Lefkowitz的说法，对策不是“更快地修补所有漏洞”，而是通过利用安全情报来“更智能地修补”。

企业应该超越被动的修补周期，拥抱基于风险、情报驱动的漏洞修复。“这意味着优先处理那些可被远程利用、在野外被积极利用或与活跃对手活动相关的漏洞，同时考虑业务背景和可能的攻击者行为，”Lefkowitz说。

关注可被利用的漏洞

第三方安全专家同意企业需要采用基于风险的修补框架。

“试图修补所有漏洞的组织正在打一场不可能赢的仗，”IEEE高级成员Shaila Rana说。“但一线希望是，这种转变实际上正在催生更智能、更具战略性的方法。”

Rana补充道：“这种压力正在创造更好的基于风险的框架，帮助团队将有限资源集中在优先领域，即最重要的事情上。”

安全验证公司Picus Security的安全研究负责人Hüseyin Can Yüceel表示，尽管披露漏洞数量增长可能令人生畏，但只有部分漏洞会影响任何特定企业。

“您甚至可能不拥有存在漏洞的产品，或者已经有一些安全缓解措施来防止利用，”Yüceel解释说。“最重要的是决定什么对您相关且重要，这就是为什么基于上下文的优先级排序很重要。”

Yüceel补充道：“基于风险的方法帮助组织关注最可能影响其基础设施和运营的威胁。这意味着组织应优先考虑可被利用的漏洞，同时降低那些可以有效缓解或防御的漏洞的优先级，即使它们的CVSS（通用漏洞评分系统）评分被评为严重。”

仅依赖CVE变得“不可持续”

Flashpoint警告，严重依赖公共漏洞情报来源（如通用漏洞和暴露（CVE）和国家漏洞数据库（NVD））的安全团队处于严重劣势。CVE发布与NVD丰富之间的平均延迟现在长达数周甚至数月——造成了关键的情报缺口。

今年早些时候CVE计划资金的不稳定性带来了额外的疑虑。

“仅依赖CVE或国家漏洞数据库已经变得不可持续，”Flashpoint的Lefkowitz说。“延迟、不一致和持续的积压意味着关键情报通常在攻击者已经活跃之后才到达，使防御者对高风险暴露视而不见。”

攻防安全公司Fortra的安全研发高级经理Tyler Reguly驳斥了依赖公共漏洞情报来源使组织处于“严重劣势”的担忧为夸大其词。供应商报告、利用数据库和CISA已知被利用漏洞（KEV）列表都提供了有价值的情报来源，Reguly说。

“现实是，公共情报来源对于管理漏洞至关重要，”Reguly认为。“这并不是说专有数据没有好处，但有很多数据可供任何人收集。”

Rana认为，公共漏洞情报与上下文威胁情报和业务风险评估结合时效果最佳。

“聪明的组织正在将CVE数据与实时威胁情报叠加，以创建更细致和可操作的安全策略，”Rana说。有效的团队不是放弃这些可信来源，而是更好地将它们用作更广泛情报图景的一部分，帮助他们在对其特定环境真正重要的威胁面前保持领先。

第三方风险——再次出现

应用攻击面保护公司Wing Security的首席执行官Galit Lubetzky Sharon表示，漏洞和利用代码的激增只是问题的一部分。

“企业越来越依赖决定修补周期的第三方SaaS供应商——当这些供应商修补缓慢或未能披露时，客户会盲目继承风险，”Sharon说。

人工智能正在放大这种威胁：攻击者以前所未有的速度武器化利用，而“SaaS供应商竞相发布AI功能，通常没有成熟的安全控制，”根据Sharon的说法。

“真正的挑战不仅仅是跟上修补步伐，而是获得对第三方风险的可见性——使得持续的SaaS、AI和一般第三方安全变得至关重要，”Sharon总结道。

AI简化利用开发

应用安全公司Mend的首席执行官Rami Sass表示，在过去两年中，漏洞发现与利用之间的时间从几周缩短到几天甚至几小时，部分原因是攻击者增加了对AI技术的滥用。

根据Sass的说法，日益动荡的威胁格局背后有三个主要驱动因素：

• 更好的工具来发现漏洞，特别是在遗留代码中
• 一个饥渴且不断增长的利用商业市场
• AI工具使利用的生产更容易

“攻击者现在使用AI比防御者移动更快，”零知识网络公司Xiid的首席技术官Federico Simonetti说。“AI在发现漏洞和制作利用方面非常有效，而同时，它在应用任何显著级别的保护方面却非常无效。”

暴露管理

云安全公司XM Cyber的研究负责人Peled Eldan认为，漏洞和利用的激增是“云资产扩张、快速迁移、部署失误、配置错误等的副产品。”

“虽然NVD仍然是网络安全的基础支柱，但SOC团队需要的远不止CVE ID和CVSS评分来有意义地降低风险，”Eldan说。“即使NVD丰富速度加快，也无法解决更大的问题：理解漏洞如何与其他暴露点连接以创建可利用的攻击路径。”

这种动态正在推动漏洞管理向暴露管理的演变，后者将身份问题和配置错误视为与代码缺陷一样严重。

“当与攻击面工具（如违规模拟、渗透测试和红队）配合使用时，公司可以构建攻击图，可视化对手如何到达核心资产，”Eldan解释说。“攻击图通常与数字孪生结合使用，以模拟和验证给定的修复策略是否消除了暴露。”

用弹簧高跷穿越雷区

云安全供应商Qualys的EMEA风险技术副总裁Ivan Milenkovic表示，任何组织能够或应该尝试修补每个漏洞的想法“一直是个谬误”。

“披露的爆炸性增长和像NVD这样的公共订阅源的明显不可靠性并没有创造新问题；它们只是暴露了传统方法的知识破产，”Milenkovic告诉CSO。“依赖CVSS评分和追逐CVE就像试图用弹簧高跷穿越雷区。”

Milenkovic建议，企业不应依赖基于风险的修补框架，而是需要基于持续威胁暴露管理（CTEM）计划的全面运营改革。

像Gartner的CTEM这样的框架为安全运营中心团队提供了路线图，指导如何成熟其流程，以基于可利用性和业务影响（而不仅仅是原始严重性评分）来优先处理暴露。

“根本问题不是‘这个漏洞严重吗？’而是‘对业务的风险价值是什么，以及降低它的最资本效率方式是什么？’”前CISO Milenkovic解释说。

Ivan Milenkovic描述的基于CTEM概念的“风险运营中心”方法的目标是将安全与真实的业务成果对齐。

“您的目标是使用一个注重资金的框架，以外科手术般的精确度修复那2%的漏洞，这些漏洞对您的组织构成了超过90%的实际、实质性风险，”Milenkovic说。