Morphisec的首席技术官兼恶意软件研究主管Michael Gorelik讨论了监管框架、不完整的资产清点和手动方法带来的挑战，同时还探讨了自动化系统的作用、面对不断变化的网络威胁时漏洞优先级的未来，以及公司在建立有效的补救策略时应考虑的关键因素。

了解漏洞的业务影响如何帮助确定它们的优先顺序?你能举个例子说明这在现实世界中是如何有效运作的吗?

修复漏洞是一项艰巨的任务。截至2023年12月，已发布超过4540个关键漏洞(CVSS排名为9+)，然而，这些漏洞中被利用的不到2%。

使用CVSS评分推动修补工作的公司可能跟不上新漏洞的速度，因为部署安全补丁需要测试、兼容性检查和风险评估，导致修补漏洞需要4-6周(或更长时间)，这一漫长的过程是因为需要避免由于安装软件更新可能导致兼容性问题而造成的业务中断，这对公司来说是一个重大风险。因此，必须根据公司的业务上下文确定优先顺序，并与它们面临的最严重的漏洞保持一致——这将导致可持续的补救过程。

公司应该了解哪些漏洞有可能在其独特的环境中被利用，以及哪些漏洞可能构成最高的业务风险，例如，与驻留在保护良好的环境中的未使用的应用程序中的漏洞相比，存在于活动的面向互联网的业务应用程序中的具有已证实可利用性的漏洞或存在高概率利用的漏洞可能具有更高的优先级。

遵守GDPR这样的监管框架在哪些方面有助于确定漏洞的优先顺序，这与维护公司的可信度有何关系?

漏洞管理是许多合规和监管框架的关键组成部分，如NIST CSF、PCIDSS(支付卡行业数据安全标准)、NERC CIP(北美电气可靠性公司关键基础设施保护)、CIS(互联网安全中心)关键安全控制、GDPR(通用数据保护法规)等。

监管框架包括数据保护和隐私的组成部分，这些组成部分通过要求公司实施安全措施来保护个人数据，间接解决了漏洞管理问题。个人数据的丢失可能导致信誉丧失，并被美国证券交易委员会(Securities And Exchange Commission)等监管机构处以违反监管规定的罚款。由业务上下文确定优先级和驱动的漏洞管理实践可以将处理PII的资产定义为关键资产，这可以极大地减少公司受到网络攻击的风险和受保护数据的外泄。

你对漏洞优先排序的自动化系统有何看法?他们如何应对手动方法的挑战?

系统应持续运行并收集实时数据，以根据实际使用情况确定漏洞优先级，另一方面，传统的漏洞系统通常会定期收集信息——按需、每周甚至每月，然而，缺乏当前的暴露环境可能会导致资源分配和安全漏洞，这会造成巨大的人力资源开销，并造成安全漏洞，因为这些信息不会显示公司暴露的当前地图。

自动和连续的优先顺序适应动态变化的攻击面，反过来，团队获得了更高的准确性，减少了对手动数据收集和分析的依赖。自动化系统允许更大的容量来消化更多(和更高优先级)的数据，并更好地利用现有资源。

同时，在部署补丁之前，公司应考虑部署无补丁保护，以减少其受攻击面。无补丁保护能够保护尚未打补丁的已知漏洞，同时防止未知漏洞造成损害。

不完整的资产清单和数据如何影响确定脆弱性优先顺序的过程，以及可以采用哪些战略来克服这些挑战?

影子IT资产或公司无法轻松访问的资产上的漏洞无法补救。不是所有资产都可以完全映射，也不是所有资产——例如，运行任务关键型流程的资产——都可以更新。在这种情况下，公司需要一个清晰的地图来定义哪些应用程序和资产构成最高风险，以便能够分配资源来为整个公司绘制地图并创建更广泛的库存。同时，公司应考虑应用补偿性控制，例如自动移动目标防御，以保护运行无法修补的应用程序的系统。

公司在构建漏洞优先级排序公式时应考虑哪些关键因素?这些因素如何相互作用来决定补救工作的紧迫性?

没有两个公司是相同的，每个公司都可能希望根据不同的战略确定优先顺序。为此，漏洞管理系统应提供多种选项来推动工作，包括按业务环境对计算资产进行分组、考虑整个主机(计算设备)的暴露、聚合应用程序上的漏洞以及展示漏洞的可利用性和潜在可利用性。

因此，公司应确定其关键的优先级驱动点，例如，将重点放在业务关键型应用程序上，并根据该战略推动补救流程。现代漏洞补救技术应该很容易适应公司选择的战略。

你认为漏洞优先排序的未来走向如何，特别是随着网络威胁和技术进步的演变?

由CVSS评分驱动的标准漏洞管理实践已演变为基于风险的漏洞优先排序。下一步将是向风险暴露管理的范式转变，这是一个更宽泛的术语，涵盖了越来越多的元素，这些元素是代表公司风险的关键类别。

例如，除了应用程序漏洞外，公司还将深化对特定于公司的错误配置、权限和资产的识别和基于风险的评估，这些要素将构成总体风险评分的基础，这将使安全专业人员能够更好地将其有限的资源集中在能够最大限度地降低风险的领域。