在当今的威胁形势下，漏洞数量成倍增长，给网络和安全团队在确定修复工作的优先级和实现业务价值最大化方面带来了巨大挑战。公开数据显示，仅2023年就有近2.9万个常见漏洞(CVE)被披露，较前一年的CVE数量增长了15%。

在部署工业和医疗设备的关键基础设施环境中，维持关键任务系统的正常运行以及确保患者护理和安全对于运营技术(OT)、生物医学和物联网(IoT)、OT和医疗物联网(MIoT)资产的CVE数量在不断增加，不仅给这些团队带来了巨大的压力，还妨碍了他们修复严重影响业务持续运营的风险。

基于风险的漏洞管理

许多企业一直在使用通用漏洞评分系统(CVSS)，通过这一评估网络安全漏洞特征和严重性的行业标准来确定漏洞修复的优先级。

自2005年发布以来，CVSS已经过三次重大修订，加入了更加准确反映漏洞严重性的指标和评分标准。通过这三次修订，该标准使得考虑具体漏洞的上下文关系在评估其风险方面起到重要作用。虽然使用了 “时间 ”和 “环境 ”指标组解决这一问题，但它们反映的特征随时间变化并且是个别企业所特有的，因此属于“可选”指标。另外，这些指标需要进行人工评估，增加了企业的开销并消耗了大量的时间和资源。由此可见，CVSS并未真正超出基础指标的范围。

如果企业仅依靠CVSS基础分数确定优先级，可能导致他们未能将重点放在真正关键的事项上。一个CVSS基础分数很高的CVE被攻击者利用的可能性或许很低，或者只影响企业中不太重要的资产，例如：运行关键工业控制系统的 Copyright 版权所有 Copyright 2013-2020 福建省云创集成科技服务有限公司 共建合作：中国协同创新网
All Rights Reserved. 运营维护：三明市明网网络信息技术有限公司 业务咨询：0598-8233595 0598-5831286 技术咨询：0598-8915168