引言

漏洞管理已不再是2000年代的模样。CVSS评分、漏洞数量和已修复CVE数量等指标不再是主要标准。如今,企业已无需被提醒扫描资源漏洞——大多数都已常态化执行。真正的挑战在于优先级判定:识别真正关键的漏洞,理解不修复的后果,并展示快速处置方案。

到2025年,攻击者突破时间缩短、AI技术规模化武器化、攻击面持续扩张,加上董事会层面对CISO的审查追责加剧,使得暴露面管理成为企业最高优先级事项。这促使传统的风险暴露定义方式和漏洞利用概率计算模型发生根本性演变。

从业者开始提出更本质的"风险三问"来验证风险评分:构成"暴露面"新定义的核心要素(What)、对企业产生实际影响的深层原因(Why)、以及如何通过风险处置向董事会交付可量化的安全成果(How)。

市场已做出相应反应。厂商正快速整合以下技术类别:漏洞管理(VM)、基于风险的漏洞管理(RBVM)、攻击面管理(ASM)、网络资产攻击面管理(CAASM)、应用安全态势管理(ASPM)以及攻防演练(BAS)。在持续威胁暴露面管理(CTEM)框架下,这些能力现已集成于现代风险与暴露面管理平台之中。

为深入洞察该市场,我们对风险优先级划分与暴露面管理领域展开了深度研究。我们采访了来自大小型组织的从业者和安全负责人,以了解其关于风险与暴露的核心关切。同时分析了自归类为CTEM框架下的厂商,评估他们如何针对从业者痛点进行能力演进。

本报告旨在阐明从业者的核心诉求,评估头部厂商的应对策略,通过平台深度测评、详细问卷及客户访谈呈现客观发现,并为寻求风险管理落地的组织提供实用框架。

本报告重点阐述了2025年影响暴露面管理的主要趋势及其对安全团队的影响。我们分析了当前暴露面管理项目的价值实现方式、亟待改进的领域,以及现代平台的差异化特征。研究聚焦于漏洞管理(VM)、攻击面管理(ASM)、网络资产攻击面管理(CAASM)和云原生应用保护平台(CNAPP)的供应商融合趋势,向可利用性和运行时驱动优先级排序的转变,以及自动化和人工智能在定义现代风险与暴露面管理平台(MREMP)中日益重要的作用。

为保持供应商中立,我们考察了从业者视角、供应商策略、客户参考案例及独立市场研究。为使这些概念在实际评估中落地,我们运用DDPER(部署、数据收集、优先级排序、暴露度、修复)框架对供应商进行了评估。

报告还提供了分步实践指南,帮助组织根据需求选择最佳的风险与暴露面管理解决方案。其设计旨在区分实用功能与市场炒作,为安全领导者提供清晰框架,用于评估其环境中的暴露情况与风险。

可操作洞见

  • 风险与暴露面管理正在被重新定义

现代风险暴露平台正通过突破传统配置读取的方式,彻底改变过往风险暴露计算方法——它们执行真实的网络可达性分析,从非结构化数据源获取上下文信息,甚至通过监测社交舆论来评估漏洞利用可能性,其分析维度已超越KEV和EPSS数据库的范畴。

  • 人工智能与自动化正逐渐发展为核心工具:

AI代理正从炒作转向实用,通过协助所有权映射、修复编排和上下文分析来减少运营开销并缩短平均修复时间(MTTR)。

  • 能力融合正在加速:

VM、RBVM、ASM、CAASM、ASPM、BAS、CTEM和CNAPP正融合为统一的风险与暴露面管理平台,提供动态评分和基于上下文的暴露削减闭环。

  • 聚合式平台正在崛起

聚合式暴露面管理平台专注于将来自多种扫描器、态势工具和威胁情报源的数据整合为统一规范化的风险视图,特别适合已具备成熟多样化工具集的组织。

  • 纯扫描平台优先考虑深度和原生可见性

纯扫描或统一平台在云、基础设施、身份和应用程序层面执行自身的持续扫描。它们提供即时可见性和控制,消除了对外部数据源的依赖。

  • 修复操作连接安全与 IT

领先平台现已包含双向工单、修复聚合、SLA跟踪和自动验证功能,确保发现的问题转化为可衡量的风险降低。

  • 董事会报告以结果为导向,而非活动导向

当前的成功指标聚焦于风险降低、暴露趋势和可利用性验证,而非已修复漏洞数量或完成扫描次数。

  • 市场分化趋势显现

平台正演化为两大类别:一类是聚合器,通过整合多工具数据实现上下文优先级排序;另一类是内部扫描平台,将扫描、分析和自动化修复功能集成于一体。

  • 选择合适解决方案的实用指南

本实践指南通过清晰的步骤框架,帮助组织选择和实施合适的暴露面管理解决方案。该框架首先评估需求,然后根据需求对供应商进行评级,从而选出最适合的解决方案。

  • SACR预测

聚合平台正在增加轻量级内部扫描功能,以减少对外部工具的依赖并提供单一事实来源。与此同时,纯扫描器厂商正扩展至上下文分析和自动修复领域。两者都在向以结果为导向的自主暴露面管理发展,专注于实现可衡量的风险降低。

行业定义快速回顾

综合来看,这些挑战揭示了漏洞管理为何必须迭代演进。行业定义也随时代变迁:从传统漏洞管理到基于风险的方法,再到更统一的流程管道,直至持续威胁暴露面管理。在阐述安全领导者为2025年设定的重点事项之前,有必要厘清这一演进脉络,并就漏洞管理领域不同模式的定义达成共识。

1.漏洞管理

这是基础功能。它包括一个扫描所有资产漏洞的程序,并根据CVSS评分提供带优先级排序的漏洞列表。该功能不考虑其他环境因素。

2.基于风险的漏洞管理(RBVM)

漏洞管理的进阶方案,通过整合"风险"要素来确定修复优先级。关键输入数据包括:来自已知被利用漏洞(KEV)目录的漏洞情报(标识当前正被利用的漏洞),以及漏洞利用预测评分系统(EPSS)(预测可能即将被利用的漏洞)。

3.统一漏洞管理(UVM)

一种整合式漏洞管理方法,能够从多个来源获取漏洞检测结果,对其进行标准化处理和去重,并通过集中化视图辅助优先级排序。

4.攻击面管理(ASM)

它会扫描所有面向互联网的资产和服务,将每项资源关联到责任人,并识别出开放端口、配置错误、凭证泄露或证书过期等暴露风险。其目标不仅是可视化,更要实现风险验证。当与入侵和攻击模拟(BAS)结合使用时,安全团队能准确判断哪些暴露点可被实际利用。

5.应用安全态势管理(ASPM)

ASPM从应用生命周期的各个环节(包括SAST、DAST、SCA、密钥管理、IaC、供应链、云配置和运行时环境)采集数据,为团队提供统一的风险视图。但其价值不止于可视化——ASPM还能补充资产态势上下文、明确责任归属,并与现有工作流无缝集成。

6.持续威胁暴露面管理(CTEM)

由Gartner定义的术语,指通过持续识别、验证、优先级排序和减少企业攻击面的暴露点来构建的项目。强调持续发现、业务上下文、攻击路径验证和可衡量的暴露减少。

漏洞管理向暴露面管理的演变

过去,漏洞管理意味着进行定期扫描,生成冗长的问题清单,其严重性主要依据CVSS评分来排序。这种方式已不再适用。现代云原生应用、动态基础设施以及不断变化的威胁环境改变了人们的期望。企业需要的是超越静态数据流和配置读取的解决方案,提供反映实际可利用性和业务背景的优先级排序,属于CTEM范畴的平台正在演进以满足这些需求,从而推动了现代风险与暴露面管理平台的发展。

推动现代化的关键因素

在深入探讨现代风险和暴露面管理平台的核心特征之前,有必要先了解推动漏洞管理向更广泛、更先进的暴露面管理平台演进的关键因素。理解这些因素,才能以正确的视角来评判2025年"现代"平台的真正内涵。

1.噪音与告警疲劳:从检测过载到决策过载

大多数传统漏洞工具仍停留在漏洞清单检索层面,而非风险消减工具。它们能提供已发现漏洞的详细分析,或许还能基于KEV或EPSS数据源给出可利用性背景信息,但针对客户特定环境的实际风险数据却寥寥无几。这直接导致了告警疲劳、SLA违约以及不断积压的漏洞工单——既无法真实反映风险状况,也难以推动可量化的修复进程。

2.浅层优先级与情境缺失:修复表面问题,忽略关键环节

在传统的漏洞管理平台中,风险排名往往依赖于外部信号(CVSS 评分、EPSS、KEV),而没有考虑内部环境因素,如网络暴露面、身份权限、运行状态或资产关键性。这导致优先级错配,团队耗费精力修复不可利用的问题,却遗漏了真实的攻击路径。缺乏可利用性和可达性分析,使得安全团队面对一长串优先级失衡的漏洞清单。

3.重活动轻结果:投入越多,成效越少

着重展示已修复CVE数量而非实际风险降低的仪表板,会营造出虚假的进度感。活动指标不等于风险指标。缺乏环境感知的优先级排序,工作流会优化吞吐量而非实际影响,从而扩大安全团队(聚焦于减少暴露风险)与工程团队(以交付而非工单数量为考核标准)之间的目标鸿沟。

4.数据完整性与信任挑战:重在证明,而非修护

相互冲突的数据源、反向移植和误报可能会浪费本应用于准确修复风险的时间。发现更多漏洞已不再是扫描工具更优秀的自动证明,因为解决误报往往比处理实际风险消耗从业者更多时间。从业者需要能够减少误报和重复项的平台,以提高信任度和风险评估的准确性。

现代风险与暴露面管理平台简介

《2025市场指南:现代风险与暴露面管理平台的演进》我们观察到,在从业者关注焦点、主动安全建模、快速演变的威胁形势以及人工智能从概念炒作转向实际应用等因素推动下,2025年漏洞风险与暴露面管理领域将通过以下几种关键方式被重新定义。现代风险暴露面管理平台正彻底革新传统暴露定义方法——通过动态漏洞利用情境分析(超越静态配置读取)、基于仿真的真实网络可达性验证、突破EPSS/KEV等静态威胁情报的漏洞利用概率评估、源自网络舆论的社交情报、与工单平台的双向集成(降低风险状态滞后性)以及AI辅助的优先级排序与修复方案。这些平台整合资产情报、威胁上下文、业务数据与自动化能力,实现对真实风险的量化评估、成因解析与处置执行。以下是2025年供应商在漏洞风险与暴露面管理领域呈现的新趋势——

从控制优化到情境化风险建模

现代平台融合了运行时验证、网络可达性、漏洞利用情报、补偿控制的存在性及业务背景,以衡量真正的可利用性,而不仅仅依赖通过资产配置评估暴露面的存在。

非结构化数据源

我们还发现一种新兴趋势,即通过分析ITSM和工单系统、Slack等协作平台、知识库及开发工具等来源的非结构化数据,来获取资产业务关键性的补充上下文信息。

超越数据源的可利用性

一些现代平台不再局限于KEV和EPSS等漏洞可利用性数据库,而是通过社交媒体、社区和开源情报渠道监测漏洞利用趋势,将这些信号输入到可利用性评分和上下文风险模型中。

聚焦于修复

现代平台正通过部署AI代理实现决策自动化,完成关联分析、权属解析和修复编排,从而将AI从概念炒作转化为实用工具。尽管业界对于AI在此过程中的参与程度仍存疑虑,但采用这些解决方案的客户已反馈了积极成效。

应用安全与代码上下文

现代平台正从以基础设施为核心的漏洞扫描转向统一的风险暴露面管理,将代码层、云层和运行时层连接到一个统一的风险模型中。通过整合来自SAST、DAST、SCA和代码仓库的应用安全信号,结合上下文及运行时数据,这些平台能将生产环境中的漏洞追溯至源头。这种融合正使风险暴露面管理发展成为贯穿代码到云的完整体系,在一个持续循环中统一漏洞可利用性洞察、开发者责任归属和修复工作流,实现主动式安全防护。

流程图

攻击路径正变得越来越普遍,但我们注意到一个新兴趋势:结合暴露上下文的业务流程图谱可视化。

2025年风险与暴露面管理核心趋势

我们采访了从业者,询问他们在不断演变的漏洞管理领域中最关注哪些方面,以及他们真正希望解决哪些痛点。随后,我们将这些反馈与供应商解决这些问题的实际方法进行对标,为您揭示风险与暴露面管理平台的关键趋势。

风险与覆盖范围对比

2025年,瓶颈已不在于能否扫描所有资产。多数企业早已运行多种扫描工具,结果却导致可见性碎片化和运营成本攀升。真正的挑战在于统一可见性,并在分散环境中优先处理真实风险。简而言之,风险优先级已成为比原始覆盖率更受关注的痛点。

行业领袖强调,在日益动态化的环境中,需要建立覆盖所有资产的、具备风险优先级上下文的全面可见性。从业者普遍呼吁建立单一的统一覆盖模型,既能提供可见性,又能实现轻松上手的操作体验。

供应商的应对之道——

  • 统一可见性:在动态环境中提供涵盖容器、代码仓库、虚拟机及云工作负载等全资产类型的全面覆盖。

  • 广泛数据接入:整合来自威胁情报源、漏洞数据库及第三方扫描器等多渠道的洞察,形成统一的风险视图。

  • 超越CVE范畴:将洞察范围扩展至资产态势、覆盖缺口、云安全态势、身份暴露、数据、业务上下文和网络上下文,以全面呈现组织风险全景。

动态威胁评估

Crowdstrike《2025全球威胁报告》指出,最快电子犯罪突破时间仅需51秒,横向移动平均耗时不足1小时。79%的检测事件不涉及恶意软件,凸显身份攻击与无文件攻击手法的重要性。Mandiant《2025年度M-Trends报告》显示全球驻留时间中位数回升至11天,逆转多年下降趋势。Verizon《2025数据泄露调查报告》则强调约20%的入侵事件源于漏洞利用。第三方和供应链风险加剧,加之生成式AI驱动攻击的规模效应,当前风险态势显而易见:漏洞利用速度前所未有,影响范围空前广泛。

防御者需要能够与时俱进的平台。这意味着要实时掌握最新威胁动态,并在新漏洞出现时立即提供相关背景信息。安全领导者希望快速明确地得到答案:"我是否受此零日漏洞影响,其在我的环境中被利用的可能性有多高?"解决这一问题需要将资产发现、业务背景和暴露验证相结合的工具,使团队能够专注于最关键的任务——修复漏洞。

正如一位安全领导者所言:"不要只告诉我哪里有问题,要在我资源有限的情况下,立即展示需要优先处理的事项,并向我的团队展示如何修复它。"

供应商的应对之道——

  • 上下文驱动的可利用性分析:基于攻击路径、范围及其他影响驱动因素,对可利用性进行更深入的验证。

  • AI辅助或自主修复工作流:发现结果会自动转化为附带完整上下文和分步指导的工单,通过与ServiceNow或Jira的双向集成路由至正确的资产所有者,以保持真实风险状态。

暴露环境上下文

如果我们仅查看漏洞订阅源中的严重性评级,所有组织最终都会得到相同的扁平化优先级列表。但现实情况并非如此。风险并非千篇一律;它取决于资产是否暴露在互联网上、是否可达以及该环境的具体配置方式。

这就是为什么一刀切的评分标准行不通。两家企业可能存在相同的高危漏洞,但其中一家的漏洞深藏于多层防御之后,而另一家的漏洞却暴露在生产环境的开放资产上。两者的风险等级和紧迫性完全不同。

安全负责人不仅想知道理论上的严重性,更希望了解其实际环境中的真实威胁程度。上下文背景、暴露程度、可达性和攻击面等维度,才是让漏洞优先级排序具备意义的关键要素。缺乏这些维度,安全团队就难以判断环境中哪些问题真正需要紧急处理。

安全领导者需要能反映上下文背景的仪表盘。董事会指标必须展示风险降低成效,而非单纯罗列CVE数量。其核心在于通过可达性、漏洞利用情报、控制态势、覆盖缺口和业务影响等维度对问题进行分级排序,从而减少暴露面并保护关键资产。

供应商的应对之道——

  • 可达性上下文:评估面向互联网的资产、其网络可达性、横向移动路径以及整体攻击路径/范围。

  • 业务关键性:根据数据敏感性(如个人身份信息 PII)及生产环境影响等业务背景进行优先级排序。

  • 补偿性控制:考虑网络分段、EDR覆盖、WAF防护或IAM策略条件以优化真实暴露面。

  • 漏洞情报:整合来自CISA KEV、EPSS和漏洞利用源的实时威胁数据,识别活跃攻击行为与潜在攻击向量。

  • 分层优先级:结合可达性分析、漏洞情报和攻击路径上下文,建立更准确基于风险的修复顺序。

修复辅助

访谈中多位领导者表示,问题发现很容易,修复才是瓶颈。能够帮助确定修复优先级并直接集成到工作流(如 ServiceNow、Jira)的平台被认为真正实用。随着AI能力降低运维负担,配备专职人员操作安全平台的模式正在被打破。从业者需要能提升操作体验并减轻团队负担的平台。

供应商的应对之道——

“运维就绪”建议:为运维团队编写的清晰、技术上精确的步骤,弥合安全团队与开发团队之间的沟通鸿沟。

智能工作流自动化:自动分配工单、与工单平台双向集成以评估真实风险状况并跟踪进展,被认为比仅可视化更具价值。

从业者选择合适解决方案指南

逐步框架:确定最适合您组织用例的解决方案

第一步:统一或单一解决方案

第一步是确定您的组织需要聚合器模式还是单一平台覆盖模式。

聚合平台将来自多个扫描器、云工具和漏洞系统的发现结果整合到一个统一的修复流程中。如果您已拥有成熟的工具链但面临标准化、去重和操作编排方面的挑战,这类平台是理想之选。

统一暴露平台提供原生扫描或状态评估功能,同时整合关联和修复工作流。当整合部署和简化操作比维护多个功能重叠的工具更为重要时,这类平台通常是更优选择。

第二步:部署环境评估

检查解决方案是否符合您组织偏好的部署模式。

  • 受监管或主权数据要求:若在金融、医疗或关键基础设施等领域运营,需确认供应商支持本地化或物理隔离部署。部分现代平台仅提供SaaS模式,可能无法满足严格的属地化要求。

  • 无代理与基于代理的采集方式:评估是否能在工作负载、终端或云资产上部署代理。当前许多平台通过只读API或网络传感器实现无代理可见性。

  • 集成成本:具备扫描器、ITSM、EDR及云服务商预置连接器的平台能显著缩短价值实现时间。

步骤三:按优先级梳理当前可见性缺口

在评估功能之前,先记录当前风险暴露面可视性最薄弱的环节。

建立覆盖以下五个可视化领域的自上而下优先级列表:

领域:网络可达性评估

指导性问题:您能否轻松确定哪些漏洞可通过外部访问或内部路由暴露?

(关注那些通过主动模拟或其他技术在真实网络可达性方面表现突出的供应商)

领域:漏洞利用的存在性

指导性问题:您是否对可利用性因素拥有实时洞察?

(关注那些超越EPSS和KEV数据源以确定漏洞利用概率的供应商)

领域:业务背景

指导性问题:您能否轻松将技术资产与业务关键性、所有者和敏感级别关联起来?

(关注那些擅长从非结构化数据源或开发工具中提取情境的供应商)

领域:敏感数据可见性

指导性问题:您能否轻松识别包含关键/敏感数据的资产?

(关注能够提供超越配置读取的深度数据扫描(DSPM)能力的供应商)

指导性问题:利用的影响面

你能轻易地想象一次安全漏洞如何渗透身份、网络和数据吗?

(关注那些具备漏洞利用路径和影响面可视化能力的供应商)

步骤 4:评估修复辅助功能

在完成优先级排序后,仍需进行修复操作,这是您的责任。了解这些平台能在修复操作中提供何种辅助至关重要。

现代解决方案现提供修复操作(RemOps)或直接将安全与IT连接的工作流自动化功能。

  • 自动化工单:平台能生成带有上下文信息的修复工单,并直接路由至 Jira 或 ServiceNow 系统,工单包含负责人和 SLA 元数据。

  • 任务整合:将多个 CVE 漏洞或错误配置合并为单一的"修复项",减少重复工作。

  • 验证闭环:通过遥测同步自动重新验证已关闭的工单,确保暴露问题得到真正解决。

步骤 5:业务报告

若您在现有安全工具之外创建定制化仪表板,这一因素可能无关紧要。但如果确实需要从平台内部获取此类可视化数据,则须重点考量以下要素:

  • 自定义报表与仪表板:寻找支持按环境、业务单元或SLA等上下文动态筛选的平台。

  • 残余风险指标:能够量化补偿性控制在补丁部署前就降低风险的效果。

  • 自然语言摘要:部分平台可自动生成叙述性摘要或适合高管阅读的可视化图表,将技术风险与业务影响关联呈现。

供应商评估框架

愿景(非权重因素)

公司的未来准备愿景是什么?他们认为平台将向哪些领域发展?

厂商

为了解2025年漏洞风险与暴露面管理平台的关键创新,我们通过深度产品简报、客户访谈及问卷调查(不仅限于营销材料)对10家厂商进行了深入研究。我们重点关注核心差异化优势,以及他们在解决风险优先级排序和暴露可视化问题方面所采取的方法。

按字母顺序排列,不分先后排名。由于篇幅原因,此处详情不再摘录,感兴趣的读者欢迎参考原文。

漏洞风险与暴露面管理-SACR预测

展望未来,我们认为漏洞和风险管理平台将朝两个方向演进

聚合平台扩展内部扫描能力

聚合式平台或统一漏洞管理平台,当前主要聚焦于将第三方扫描工具、CNAPP和态势工具的检测数据进行标准化与关联分析。未来这类平台将逐步增加自有扫描能力,主要服务于两类企业需求:

  • 尚未部署漏洞管理技术栈的企业

  • 希望建立不依赖外部数据的单一可信数据源的企业

可以预见,长期定位于"聚合与统一漏洞管理层"的厂商将开发轻量级无代理扫描模块,用于基础资产发现和漏洞枚举。这些能力将与现有的关联分析和修复引擎形成互补,使其兼具漏洞情报聚合者与生产者的双重价值。

纯平台解决方案向技术栈上层演进

与此同时,已提供原生扫描和态势管理的纯漏洞与暴露平台将继续向上扩展,融入上下文分析和修复编排功能。它们将从单点扫描工具进化为具备以下能力的自主化暴露面管理套件:

  • 关联漏洞、身份、数据态势和网络上下文;

  • 深入运行时可利用性分析以挑战聚合平台;

  • 大力投资于自主AI以实现修复工作流程自动化

这一演变将由客户对基于结果的风险降低指标(而非基于数量的漏洞统计)的需求所驱动

结语

漏洞管理及通过优先处理真实风险来减少警报疲劳的需求,仍然是企业的核心要求。传统的CVSS评分和漏洞数量等关键绩效指标已不再代表成功;相反,可衡量的风险降低、可利用性验证和修复速度定义了现代成熟度标准。

传统上独立的VM、RBVM、ASM、CAASM、ASPM、CNAPP和BAS类别的融合,在现代风险和暴露面管理框架下超越了CTEM能力的演进,反映了当前从业者和威胁行为体的运作方式。本报告描述的演进趋势表明,暴露面管理正成为连接资产情报、控制验证和修复操作的关键纽带。

原文链接:

https://softwareanalyst.substack.com/p/market-guide-2025-evolution-of-modern

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。