1. 漏洞管理中的“雷区”

漏洞管理是当前企业网络安全运营的核心环节，在运营管理过程中，普遍存在海量漏洞与修复资源有限的矛盾，在此情况下，使用漏洞优先级排布技术，集中力量修复对组织影响大的漏洞，而将能够接受风险的漏洞加入到“白名单”暂不修复，从而大量减少修复工作量。达到将好钢用在刀刃上的目的，解决风险与修复成本的矛盾。

然而，这一通用性的方法，在当前激烈的攻防对抗、安全合规形势下正面临挑战：

1、 在攻防演练中被攻破，复盘时发现攻击队使用的漏洞在“白名单”中；

2、 被监/主管机构通报漏洞，自查发现这些漏洞已在“白名单”中。

当前，此类案例比比皆是，在已掌握的漏洞中出现问题殊为可惜。“白名单”中历史漏洞看似被暂时冻结，实则成为随时可能引爆的“地雷”。 而“白名单“中的漏洞数量往往很多，容易形成一片“雷区”。

2. “雷区”成因

“雷区“的产生是白名单机制有问题吗？并不是，相反，白名单正是有效的漏洞风险管理方法。”雷区“的产生是由于漏洞优先级评估技术存在不足而导致的。

1、 优先级评估因子不足，难以评估漏洞真正风险

漏洞加入白名单前进行风险评估时，评估因子项不够丰富。例如只考虑漏洞级别、CVSS向量、是否互联网暴露等，或者加入漏洞是否存在公开PoC/ExP因子，但公开PoC/ExP对漏洞的覆盖量不足。优先级评估结果与真实的攻防对抗、安全合规要求差距较大，最终将一些“地雷“漏洞加入白名单。

2、 静态方法管理动态风险，难以体现漏洞的最新风险

优先级评估漏洞风险体现的是加入白名单那一刻的风险，用户能够接受的也是那一刻的漏洞风险。按照当前的方式，一旦加入白名单，漏洞风险即被“冻结”，成为“静态”风险。

我们知道，漏洞的风险是动态变化的，且变化的时间越来越短。漏洞级别会调整。今天漏洞的利用程序没有公开，明天可能就公开了。今天不是合规漏洞，过一段时间就被加入到合规清单。这种动态变化需要体现到优先级评估中，这样才能体现漏洞的最新风险。白名单中的漏洞也应该随着风险变化有一个动态的加入、移除的机制。

3. 动态优先级技术

排除“雷区”需要将优先级评估和白名单管理由“静态”变为“动态”。动态优先级技术旨在帮助用户评估漏洞最新、真正的风险，避免用“静态地图”导航“动态战场”，破解当前被动挨打的局面。

3.1. 全面的优先级评估因子

优先级评估应从合规、威胁、业务等三个角度进行全面评估。

1、合规角度：优先满足合规

从国家、行业和内部安全合规角度，使用合规列表的方式管理漏洞风险。列入合规清单的漏洞应优先被修复。

当前有如 "两高一弱"内网漏洞 、"两高一弱"互联网漏洞、监管通报漏洞、APT专项漏洞、勒索软件专项漏洞、供应链安全专项漏洞、恶意开源组件专项、业务上线专项漏洞、CISA KEV、关键漏洞目录等合规性漏洞，对应不同的场景和专项要求。

2、威胁角度：精准识别风险

从威胁角度分析，有公开 PoC/ExP的漏洞，意味着攻击者已经掌握了具体的攻击方法，随时可能发起攻击；EPSS（漏洞利用预测评分系统）评分较高的漏洞，表明其被利用的可能性较大；SSVC（特定利益相关者漏洞分类）中处于活跃（active）或 PoC 状态的漏洞，说明其利用状态较为危险；勒索软件和APT关联漏洞，更是会对企业的数据安全和业务连续性造成致命威胁。

3、业务角度：识别隐形暴露风险

从业务的角度分析，资产属性变化如某云服务器从测试环境迁移至生产环境后，原有白名单漏洞可能直接暴露于公网；供应链漏洞风险传导如第三方组件漏洞被利用后，白名单中的关联漏洞风险等级需重新评估。

3.2. 通过漏洞情报数据获得动态评估能力

优先级动态评估能力不足是由于缺少漏洞动态风险数据导致的，漏洞情报可弥补这一不足。通过高质量漏洞情报捕捉时间维度上的威胁、合规变化，避免静态评估的局限性。使得用户始终能够掌握最新的漏洞风险。

用户本地漏洞管理平台与云端漏洞情报的互动，不断更新本地漏洞风险，并动态评估优先级，更新已评估的优先级，与白名单的动态加入、移除机制配合，可有效排除白名单“雷区”。

4. 摄星玄猫漏洞情报赋能动态优先级评估

4.1. 基于合规、威胁和优先级的漏洞情报

1、合规标签

提供“两高一弱”、关键漏洞目录、CISA KEV等合规清单的漏洞标签。

2、威胁标签

提供漏洞与CAPEC、ATT&CK、公开PoC/ExP、APT组织、勒索软件组织的映射和关联。

公开PoC/ExP：覆盖4.8万漏洞、8.2万链接；

CAPEC（漏洞攻击模式枚举）：CAPEC ID与漏洞的映射；

ATT&CK：ATT&CK ID与漏洞的映射；

APT漏洞：涉及749个APT组织和3129个漏洞；

勒索软件漏洞：涉及212个勒索软件组织和657个漏洞；

3、优先级情报

提供每日最新的EPSS（漏洞利用预测评分系统）、SSVC（特定利益相关者漏洞分类）数据，提供优先级评估更广泛的视角。

4.2. 情报数据的动态性和及时性

利用AI和知识图谱技术，实时整合全球广泛的漏洞和威胁情报，通过人工持续运营，持续跟踪漏洞并更新漏洞情报信息。每周平均新增漏洞不少于1500条，每周平均更新漏洞不少于2300条，每小时平均更新7-8次。

通过全球广泛的情报数据覆盖，持续动态更新，可为用户提供全面的、最新的漏洞风险情报数据。

4.3. 如何获得和使用摄星玄猫漏洞情报

用户可通过xm.vulinsight.com.cn享受提供定制化漏洞情报SaaS服务。也可通过API接口获取实时漏洞情报数据，支撑本地漏洞优先级动态评估。

5.关注我们

扫描如下二维码关注摄星玄猫，获得更多服务和价值。