风险革命：暴露管理洞察 | TC 2025

在2025年Take Command虚拟网络安全峰会上，题为"风险革命"的突出会议汇集了Rapid7产品领导者和ESG分析师Tyler Shields，共同解析暴露管理的演进——以及组织如何构建更具上下文驱动性的主动风险策略。

由Rapid7产品营销高级经理Ryan Blanchard主持的小组讨论包括：

以下是讨论的关键要点，以及会后参会者调查的支持见解。

从漏洞管理到暴露管理

会议开场即区分了暴露管理与传统漏洞管理的不同。Tyler Shields解释道：

“暴露管理是漏洞管理的成熟化…它关乎理解风险、业务背景，并相应地进行优先级排序。”

不仅仅是关注修补，暴露管理关乎知道修复什么、为什么重要、谁负责，并且持续进行。

可见性是整个会议的核心主题。Jane Man指出：

“我们交谈的许多客户仍然在仅仅识别他们拥有什么方面挣扎。”

这一挑战在会后调查中得到呼应，53%的受访者将识别未知资产列为他们暴露管理计划中的首要挑战。

Tyler补充道：

“你无法保护你不知道的东西。当然也无法对其进行优先级排序。”

优先级排序对许多组织来说仍然是一个主要障碍。Jamie Douglas强调，仅凭严重性是不够的：

“打印机上可能有一个关键漏洞，但如果它是分段且不面向互联网的，这真的是优先事项吗？”

团队强调了将业务影响、资产关键性、可利用性和所有权纳入优先级排序过程的重要性。

“如果你不将风险与业务背景联系起来，你只是在追逐数字，“Tyler指出。

会议中的一个有力时刻是小组讨论跨职能协作。Jane分享道：

“安全不是孤立运作的。你需要工程、云、合规等部门的支持——每个人在风险降低中都有角色。”

没有共享语言和统一仪表板，可见性无法转化为行动。演讲者敦促团队与IT和DevOps建立桥梁，确保发现的问题真正得到解决，而不仅仅是报告。

在调查中，只有18%的受访者表示他们的组织"非常有效"地将威胁情报整合到暴露管理中，这突显了团队利用实时上下文优先排序风险的明显改进机会。

这一数据强化了小组的更广泛信息：暴露管理不是一个时间点项目——它是一个持续、不断发展的实践。

要深入了解本次会议讨论的框架、真实案例和暴露策略，请点播观看"风险革命”。

[观看完整会议]