設備多樣性、雲應用(use)、遠程辦公、日益複雜的(of)軟件供應鏈，無一(one)不(No)在(exist)顯著擴大(big)當今的(of)攻擊面。但盡管安全運營投資年年漲，大(big)多數企業卻僅能投入資源解決自身環境裏數百萬事件中的(of)10%。

有很多方法可以(by)創建所有資産及其相關風險态勢的(of)綜合清單：電子表格、“傳統”網絡掃描器和(and)IT資産管理工具以(by)及網絡資産攻擊面管理（CAASM）平台。

然而，取決于(At)所選方法，團隊可能隻關注“傳統”攻擊面，而沒有全面考慮分隔良好的(of)典型去中心化多雲現代網絡中存在(exist)的(of)一(one)切。盡管這(this)一(one)領域進展不(No)斷，但仍建立在(exist)基于(At)狀态的(of)即時(hour)洞察上。因此，缺乏對攻擊行爲(for)的(of)洞察影響到(arrive)了(Got it)其整體有效性。

另一(one)方面，威脅檢測與響應工具分析網絡、用(use)戶和(and)機器行爲(for)，旨在(exist)幫助企業從對手的(of)視角了(Got it)解自身攻擊面。雖然安全信息與事件管理（SIEM）系統的(of)數據質量相當可觀，但警報過載令團隊極其難以(by)梳理并抽取出(out)最相關的(of)信息。

威脅檢測與響應平台通常隻監測“已知”資産的(of)更改，而最大(big)的(of)威脅在(exist)于(At)對未知資産的(of)更改。所以(by)，盡管在(exist)快速響應和(and)修複方面取得了(Got it)長足的(of)進步，但這(this)些平台還是(yes)發現不(No)了(Got it)典型軟件漏洞和(and)錯誤配置之外的(of)暴露。咨詢公司Gartner預測，到(arrive)2026年，未修複攻擊面将從2022年不(No)足企業總暴露的(of)10%上升到(arrive)超過一(one)半。

有幾種方法可以(by)衡量漏洞的(of)潛在(exist)影響和(and)可利用(use)性，例如通用(use)漏洞評分系統（CVSS）、漏洞利用(use)預測評分系統（EPSS）和(and)供應商特定的(of)評分系統，CVSS是(yes)最常見的(of)漏洞優先級排序方法。

隻依賴第三方指導的(of)最大(big)風險在(exist)于(At)沒考慮到(arrive)企業的(of)特殊需求。比如，安全團隊仍然不(No)得不(No)确定一(one)堆“高危”漏洞（如CVSS評分9.0+）中到(arrive)底優先修複哪些。

這(this)種情況下，僅僅依靠這(this)些定量方法是(yes)不(No)可能作(do)出(out)明智決策的(of)。資産所處位置等因素有助于(At)團隊确定漏洞在(exist)公司環境中的(of)可利用(use)性，而其相互關聯可使團隊能夠了(Got it)解波及範圍或整個(indivual)潛在(exist)攻擊路徑。

從配置管理數據庫（CMDB）到(arrive)控制措施，從依賴關系映射到(arrive)數據湖，如果沒有内部業務跟蹤系統，這(this)份資源清單就不(No)完整。這(this)些資源都是(yes)排序威脅和(and)暴露優先級的(of)重要(want)參考，因爲(for)它們(them)能夠展示設備和(and)漏洞之間的(of)聯系以(by)及整體業務關鍵性和(and)依賴關系映射。

但盡管充實豐富，定制數據庫卻需要(want)大(big)量人(people)工操作(do)才能實現并保持更新。因此，考慮到(arrive)現代企業環境變更的(of)速度，這(this)些定制數據庫很快就會過時(hour)，不(No)再能夠準确探查安全态勢的(of)變化。

盡管上述每種數據源都有其自身的(of)用(use)途，能提供獨特的(of)寶貴洞察，但沒有哪一(one)種能獨自挑起勘破當今複雜威脅形勢的(of)重擔。也就是(yes)說，如果能綜合使用(use)，這(this)些數據源非常強大(big)，能夠全面揭示有利位置，使團隊能夠作(do)出(out)更好、更明智的(of)決策。

推動風險知情決策所需的(of)很多有價值洞察要(want)麽遺失在(exist)企業技術堆棧孤島中，要(want)麽阻塞在(exist)相互沖突的(of)團隊和(and)流程之間。盡管現代企業環境需要(want)安全同步跟進，但沒有哪個(indivual)工具或團隊可以(by)獨立修複這(this)一(one)割裂的(of)過程。

文章來(Come)源：彼得研究院