安全团队每天处理成百上千的漏洞告警,投入的人力从未如此之多。但攻击者只需要一个入口——而那个入口,很可能根本不在你的清单上:一台被遗忘的互联网服务器、一条没人注意的身份路径,这些从未出现在任何扫描报告里,却往往是攻击链的起点。

另一方面是,扫描工具产出的几千条“高危”告警里,真正可被利用的只是极少数,但传统漏洞管理方式无法告诉你具体是哪几条。修得越来越多,心里越来越没底。这正是今天企业安全的真实困境。

要在攻击发生前看清全部风险,安全团队需要的能力已经超出周期性漏洞扫描的范畴。漏洞管理依然是基础,但单靠它只能看到已知资产上的已知漏洞,而攻击者的入口早已扩展到云、身份、工业产线和外部互联网暴露面。暴露风险管理(Exposure Management)在漏洞管理之上引入了完整的攻击面可见性、攻击路径分析和基于真实风险的优先级排序,让有限的安全资源落在真正可能被利用的薄弱点上。

IT、OT、身份都是暴露面:企业如何统一管理完整攻击面-RadeBit瑞安全

本文围绕暴露风险管理这一决策框架,依次回答五个问题:当前攻击面下漏洞管理为何不够、什么是暴露风险管理、攻击面管理处于什么位置、多工具数据孤岛如何统一,以及企业级平台应具备哪些能力。

漏洞管理在当前攻击面下为何不再够用?

漏洞管理是企业安全的基础能力,持续扫描、识别并修复已知 CVE 仍然必要。当前的核心矛盾出在三个方面:漏洞规模、排序方式和覆盖范围。

第一是规模。CVE(通用漏洞披露,Common Vulnerabilities and Exposures)数量持续高速增长。根据美国国家标准与技术研究院(NIST)2026 年发布的官方公告,CVE 提交量在 2020 年至 2025 年间增长了 263%,NIST 表示这一趋势短期内不会缓解。即便 NIST 在 2025 年完成了近 42,000 个 CVE 的信息补充,较以往任何一年多45%,仍无法跟上提交速度[1]。当负责维护漏洞数据库的权威机构都面临积压,企业侧“漏洞修不完”就是同一趋势在下游的直接表现。

第二是排序方式。传统漏洞管理通常依赖 CVSS(通用漏洞评分系统,Common Vulnerability Scoring System)来决定先修哪个。CVSS 衡量的是漏洞的固有严重程度,它无法回答三个对实际风险更关键的问题:

  1. 这个漏洞在真实攻击中是否已被利用,或是否存在公开的概念验证(PoC)?
  2. 漏洞所在的资产是否面向互联网、是否关联核心业务或受监管数据?
  3. 攻击者利用这个漏洞后,能否进一步横向移动到高价值目标?

仅按固有严重程度进行排序,会让大量被标为“高危”的漏洞挤占资源,真正可被利用的少数反而被淹没。

第三是覆盖范围。攻击面已经从“已知资产上的软件漏洞”扩展到云环境、容器、身份系统(如 Active Directory)、工业产线(OT)设备、Web 应用、外部互联网入口,以及随 AI 应用普及而出现的新型入口。这些维度要么超出传统漏洞扫描的范围,要么数据分散在不同工具中,难以形成完整的风险视图,彼此孤立的安全工具会让整个攻击面的可见性变得支离破碎。

因此,应对漏洞数量激增、修复跟不上的局面,部署更多扫描器已经作用有限。企业真正缺的是两项能力:一是覆盖完整攻击面的上下文,能判断一个漏洞所在的资产是否暴露在公网、是否关联核心业务、会不会成为攻击者的入口;二是基于真实可利用性的优先级排序,从大量漏洞中识别出攻击者当前真正可能利用的那部分,优先处理。暴露风险管理补足的正是这两项。

什么是暴露风险管理?

暴露风险管理(Exposure Management)是一套持续、系统化的安全管理方法,指企业识别、评估整个攻击面上的各类暴露(即可被攻击者利用的薄弱点,涵盖漏洞、配置错误、过度授权、对外暴露的资产等),按真实风险对其排定优先级并推动修复,从而持续、高效地降低遭受攻击的可能性。它以基于风险的漏洞管理为基础构建,但视野更广:把 IT、云、身份、OT、AI 等系统中的资产、漏洞与威胁数据关联起来,叠加技术和业务上下文,更准确地识别真正重要的风险、减少干扰,并向业务侧清晰传达,支撑决策与修复。

这个概念有清晰的演进脉络。专注漏洞与暴露风险管理的网络安全公司 Tenable 早在 2017 年提出网络暴露理念,主张企业从传统的“被动漏洞修补”转向“主动的全面风险管理”。

暴露风险管理与传统漏洞管理的本质区别在哪里?

两者的区别可以从五个方面看清。漏洞管理是暴露风险管理的一个组成部分,暴露风险管理在它之上做了扩展:

  • 覆盖范围:漏洞管理聚焦已知资产上的软件漏洞;暴露风险管理覆盖 IT、云、身份、OT、AI 与外部攻击面在内的完整暴露面。
  • 优先级依据:漏洞管理主要参考 CVSS 反映的固有严重程度;暴露风险管理还会综合漏洞的实际可利用性、威胁情报、资产的业务重要性以及攻击路径。
  • 数据来源:漏洞管理依赖自有扫描工具;暴露风险管理在此基础上接入第三方安全工具的数据,形成统一视图。
  • 输出形式:漏洞管理给出的是漏洞列表;暴露风险管理给出的是攻击路径图、与业务对齐的风险指标和可执行的修复清单。
  • 工作模式:漏洞管理多为周期性的扫描与修复;暴露风险管理是持续监测、闭环优化的过程。

Gartner 在 2022 年开始使用 Exposure Management,并将其定义为 CTEM(持续威胁暴露管理,Continuous Threat Exposure Management),一套使企业能够持续评估其数字与物理资产可访问性、可利用性和暴露程度的流程和能力。Gartner 在相关研究中预测,到 2026 年,优先基于持续暴露管理计划进行安全投资的组织,遭受入侵的可能性将降低为原来的三分之一,需要管理的漏洞数量将减少三分之二[2]。

CTEM 框架包含五个步骤,体现了暴露风险管理作为持续流程的特征:

  1. 范围界定:明确对业务而言至关重要的资产和系统边界;
  2. 发现:全面识别攻击面上的资产和风险,包括未被纳入清单的影子资产;
  3. 优先级排序:确定可能被利用且会造成业务影响的高危风险;
  4. 验证:核实攻击者能否实际绕过现有防护利用这些风险;
  5. 动员:推动跨团队的修复行动,形成闭环。

这些差异背后是一个根本的转变:关注点从“清点漏洞”转移到“理解并降低真实风险”。漏洞管理通常输出的是一份待修复的漏洞清单;暴露风险管理则是在此基础上,进一步结合资产重要性、实际可利用性、威胁情报和攻击路径,把海量发现结果收敛为少数真正值得优先处置的暴露点。Tenable 也将这一思路概括为:把资产、身份、配置错误和攻击路径连接起来,识别攻击者可能利用并抵达关键系统和数据的可行路径。

攻击面管理(ASM/EASM)在暴露风险管理体系中处于什么位置?

攻击面管理(ASM,Attack Surface Management)是暴露风险管理的组成部分,专门解决“看不见的资产”这一问题。其中外部攻击面管理(EASM,External Attack Surface Management)专注于从攻击者视角识别企业暴露在互联网上的入口。

EASM 的核心任务是:识别企业在互联网上、攻击者可以从外部访问的资产和服务,将这些资产正确归属到企业名下,进而评估其暴露风险。一个企业的外部攻击面通常包括域名与子域名、对外开放的服务器和 API、Web 应用、VPN 网关、云资源、边界设备和 IoT 设备。其中相当一部分是 IT 团队未完整掌握的影子资产,而它们正是攻击者寻找的入口。

以 Tenable 的攻击面管理能力为例,可以看出这件事的规模和方法:其攻击面地图覆盖超过 50 亿资产,用于识别与企业资产清单相关联的域,并为此前未知的联网资产补充完整的业务上下文。ASM 的工作通常遵循三步逻辑:发现(识别企业拥有的资产,包括未知资产)、了解(补充业务上下文以支持决策)、评估(识别外部攻击面上的隐藏风险,外部暴露面往往是有害组合的起点)。

攻击面管理与资产清单工具有什么区别?

这是安全团队在选型时常遇到的混淆点。集中式的网络资产管理工具(CSAM/CAASM)提供的是资产清单,用于改进调查和分析;EASM 帮助企业理解面向外部的攻击面,即攻击者试图借以进入企业的入口点。EASM 的价值在于消除盲点、发现此前不知道存在的可联网资产,并提供资产重要性上下文以支撑风险优先级。在暴露风险管理平台中,资产清单能力通常可以内置,无需额外部署单独的工具。

外部攻击面管理与内网漏洞管理如何配合?

EASM 管理“边界外”,负责外网资产测绘和外网资产漏洞评估;内网漏洞管理负责“边界内”,覆盖内网资产漏洞评估和域控风险评估。两者的数据打通后,安全团队既知道外部可以进来的入口,又知道内部高价值目标的位置,才能还原出完整的攻击路径并加以阻断。

身份维度是这条路径上不可忽视的一环。攻击者的常见目标是员工和机器的凭证:通过钓鱼或漏洞利用获取初始访问权限,再借助身份在内网横向移动。Active Directory 和 Entra ID 中的配置错误、过度授权账户是最常见的隐形暴露点,而这一层往往超出传统漏洞扫描的覆盖范围。把身份暴露纳入统一的攻击面视图,是暴露风险管理区别于单点漏洞扫描的重要体现。

OT 资产如何纳入统一的暴露风险管理?

暴露风险管理的完整性,取决于平台能否覆盖最复杂的资产类型——OT 是其中较为棘手的一类。随着工业互联网普及,OT 设备已从过去相对隔离的环境,演变为与 IT 网络融合的入网资产;一旦管理不到位,它就可能成为企业暴露面的一部分。同时,传统主动扫描在 OT 环境中往往不适用,因为发包探测可能带来设备异常,甚至影响生产运行,所以 OT 也常常成为暴露管理中的盲区。

针对此问题,Tenable 的一种解决方案是,不用高风险的主动扫描去覆盖 OT,而是用被动、非侵入的方式把 OT 资产纳入统一视图,再与 IT 侧风险一起进行管理。以一家大型国家科研机构为例:旗下一艘远洋科考船在接入卫星通信后,从封闭式船舶变为海上浮动混合 IT/OT 办公节点,全船资产架构复杂,且缺少统一可视化资产清单,传统主动扫描因风险过高无法使用。

该科研机构引入 Tenable OT Security 后,实际发现的资产数量是运维团队预估的 3 倍,大量隐蔽接入的未知终端和非标科研工控设备进入可见管控范围;同时,全程采用被动式扫描方案,实现零故障落地,全船 OT 生产和科研设备无一次因安全巡检停机。全船 IT/OT 数据进一步同步至 Tenable One 全域风险管理平台,完成从底层设备漏洞到高层经营风险的量化汇报。这个案例说明:真实攻击面的规模往往远超运维团队的预期,而 OT 安全的落地不必以牺牲生产运行为代价。

多家安全工具数据口径不一致,企业如何统一暴露风险视图?

统一暴露风险视图的关键,是建立一个能跨工具采集、归一并按统一标准重新评分的数据层。大型企业普遍已部署来自多个厂商的安全工具,每套工具有自己的数据格式和评分体系,安全团队需要在多个控制台之间切换、手动比对口径不一致的风险数据,难以形成全局判断。

这一痛点在行业中已是共识:安全团队依赖一批评分标准各不相同的孤立工具,难以全面把握整体态势;数据割裂会延误响应,也难以对真正重要的风险进行优先级分析。针对这一点,Tenable 提出以一个统一的暴露风险数据层(其称为 Exposure Data Fabric)作为解法,统一可见性、叠加技术与业务上下文,把杂乱的发现结果与真正影响业务的风险区分开。

统一暴露风险视图需要解决三个层次的问题:

  1. 数据层:将来自不同工具的风险数据统一采集、去重并规范化。同一台服务器的漏洞信息可能同时出现在漏洞扫描器、端点检测与响应(EDR)工具和云安全平台中,合并之前需要解决资产识别的一致性问题——同一资产在不同工具里的 IP、主机名、标签可能各不相同。
  2. 分析层:在统一数据基础上做关联分析。单个漏洞的孤立评分意义有限,真正的风险常来自有害组合:一个配置错误单看不严重,但当它与过度权限账户、敏感数据存储叠加时,就构成了实际可被利用的攻击路径。统一平台通过整合自有传感器与其他安全工具的数据,以标准化评分实现一致的跨域优先级分析。
  3. 行动层:将风险数据转化为可执行的修复工单,自动分派给对应的运维或开发团队,并通过与 ITSM(IT 服务管理)系统集成实现修复进度追踪和闭环验证。

在工具集成层面,暴露风险管理平台通过连接器与企业已有的工具协作,无需移除并替换现有投资。可对接的工具品类涵盖端点检测与响应(EDR)、其他厂商的漏洞扫描器、云安全平台、配置管理数据库(CMDB)、攻击面管理、Web 应用安全测试、OT/IoT 安全和威胁情报等。开放连接器还支持从内部系统、电子表格或文件中摄取数据,使统一视图能够覆盖到非标准化的数据来源。

暴露风险管理在真实场景中是怎样解决问题的?

在工具林立的大型企业里,真正的难点往往不是“有没有发现风险”,而是多源数据各自为战,导致安全团队缺乏统一视角、难以统一排序,也难以把发现结果直接转化为修复动作。Tenable 的暴露风险管理能力,正是用来解决这类问题:先自动发现和梳理全网资产,再把漏洞状态、风险趋势和修复优先级统一汇聚到同一视图中,帮助安全团队把有限资源集中到真正重要的风险上。

以一家全球化大型企业为例,其面临的核心问题是暴露风险数据分散,缺乏统一视角;同时,风险优先级没有统一标准,导致修复工作容易混乱,自动化程度也不足,影响整体效率。 Tenable 通过第三方数据收集器把漏洞、云安全、EDR、CMDB 等多源风险数据统一收集,再对这些数据进行统一量化和优先级分析,并与现有 ITSM 对接,实现暴露风险的自动化处置。 这样做的直接价值是,企业不再被离散的风险数据牵着走,而是能够把漏洞修复资源集中到真正重要的问题上,减少数据孤岛带来的混乱,提升风险处置效率,并让网络安全运营从被动救火转向主动的暴露风险管理。

企业级暴露风险管理平台应具备哪些核心能力,怎样选择合适的厂商?

企业级暴露风险管理平台的核心能力可以归纳为五项,分别服务于“看得全、看得准、修得快、说得清”。安全决策者可以据此构建选型判断框架。

平台应具备的五项核心能力:

  1. 完全的暴露风险可见性:覆盖 IT、云、身份、OT 和 AI 的整个攻击面,维护准确且持续更新的资产清单,确保每项资产和暴露风险都可见、可理解、可追溯。
  2. 攻击路径可视化:呈现暴露风险如何相互关联并可能被利用,可视化攻击者的移动方式,识别瓶颈节点,在被利用前加以阻断。
  3. 预测性风险优先分析:根据利用可能性和业务影响对风险排序,结合上下文洞察聚焦最重要的问题,减少噪音。
  4. 修复加速与自动化:以自动化流程缩短平均修复时间,简化安全团队与 IT 团队的协作,将经过优先级排序的风险转化为一致的修复行动。
  5. 与业务一致的风险指标:用业务语言度量和传达暴露风险,支持高管决策,证明安全投入如何降低了风险。

Tenable 的暴露风险管理平台将上述能力整合在统一的架构中,覆盖 IT、OT、云、身份和 AI 等现代攻击面的可见性,并结合攻击路径分析、基于可利用性与业务上下文的风险优先级排序、与 ITSM 集成的自动化修复闭环,以及面向管理层和安全团队的业务化风险视图。Tenable 在 2025 年 Gartner 暴露风险评估平台魔力象限(Gartner® Magic Quadrant™ for Exposure Assessment Platforms)中被定位为该领域的领导者,也反映了市场对其暴露风险管理能力的认可[3]。

信创适配:国产化环境的首要安全门槛

信创(信息技术应用创新)是中国推进关键信息基础设施国产化的国家战略,要求政府、金融、央国企等核心行业以国产操作系统、数据库和芯片逐步替代境外产品。目前统信 UOS、麒麟等国产操作系统在上述行业的应用持续推进,大量企业的 IT 环境正处于从传统架构向信创体系切换的过程中。

这对安全工具提出了一项基本要求:漏洞管理和暴露风险管理平台必须能对运行在国产操作系统上的资产进行有效扫描和风险评估。如果平台无法覆盖信创资产,这部分设备在企业的暴露风险视图里就是空白,而任何安全盲区都可能成为攻击者的切入点。

Tenable 具备完整的产品销售资质,广泛兼容信创操作系统,支持信创环境部署和漏洞检测,并提供适配信创的国产版本,帮助企业在国产化环境中持续开展漏洞识别与暴露面管理。对于正在推进信创迁移的企业,这是评估暴露风险管理平台时需要首先确认的能力项。

中国市场有哪些额外的选型考量?

在中国部署暴露风险管理平台,除信创适配外,还需要关注本地化的合规与适配要求:

  1. 合规资质:在中国市场,安全产品通常需要关注相关合规认证、行业准入与本地化部署要求。
  2. 数据安全与部署方式:金融、政府等行业通常对私有化部署和数据本地化有较强要求,需确认平台是否支持本地化部署。
  3. OT 场景适配:涉及工业控制系统时,需关注对工业协议的支持以及对产线资产的非侵入式扫描能力,确保扫描行为本身不影响生产运行。

在中国市场,Tenable 可结合本地化部署与合规要求服务金融、政府等行业客户;同时,Tenable 也提供面向国产化环境的产品支持与漏洞检测能力,适配主流国产操作系统与本地部署需求。针对工业场景,Tenable OT Security 提供 OT/IoT 资产发现与风险可见性能力,支持在尽量降低对生产环境影响的前提下进行持续监测与风险评估。

不同规模企业的切入点有何不同?

暴露风险管理的落地不必一步到位,可以根据企业现状选择起点:

  1. 已部署多套安全工具的大型企业,核心痛点是数据孤岛和效率,适合从暴露风险管理平台加第三方数据接入入手,先打通已有工具的数据。
  2. 注重合规、安全人力有限的外企或出海企业,主要需要强合规支撑和复合能力补充,适合采用全托管的暴露风险评估服务。
  3. 预算和人力都有限的中等规模企业,难以自建平台,适合从轻量级评估服务起步,以较低成本切入。

暴露风险管理的目标是让现有网络安全投入发挥最大价值:在攻击者抵达之前看清所有可能的入口,判断哪条攻击路径最危险,然后优先关闭它。这正是企业网络安全从被动救火转向主动防患的路径。

参考文献:

[1] 美国国家标准与技术研究院(NIST)官方公告《NIST Updates NVD Operations to Address Record CVE Growth》

[2] Gartner《Top Strategic Technology Trends for 2024: Continuous Threat Exposure Management》及《Implement a Continuous Threat Exposure Management (CTEM) Program》)

[3] Gartner《2025 Gartner® Magic Quadrant™ for Exposure Assessment Platforms》,Mitchell Schneider et al.,November 2025,Tenable 援引: https://www.tenablecloud.cn/analyst-research/tenable-gartner-magic-quadrant-exposure-assessment-platforms