CTEM的核心：优先级排序与验证

尽管在时间、精力、规划和资源方面进行了协同投入，但即便是最先进的网络安全系统仍在不断失效。每天都是如此。原因何在？

这并非因为安全团队掌握的信息不够。恰恰相反，每一款安全工具都会产生数千条发现：修复这个，拦截那个，调查这个。这就像一场红点海啸，即便是世界上最顶尖的团队也无法全部处理完。

而另一个令人不安的事实是：其中大部分都无关紧要。

修复所有问题是不可能的。试图这么做纯粹是徒劳。明智的团队不会浪费宝贵的时间去处理那些毫无意义的警报。他们明白，保护组织的隐藏关键在于知道哪些漏洞确实会让业务面临风险。

这就是为什么高德纳（Gartner）提出了持续威胁暴露管理的概念，并将优先级排序和验证置于其核心。这无关更多的仪表盘或更美观的图表，而是要缩小关注范围，针对那些真正重要的少数暴露点采取行动，并证明你的防御措施在真正需要的时间和地点确实能发挥作用。

传统漏洞管理的问题

漏洞管理建立在一个简单的前提之上：找出所有弱点，进行排序，然后修复。理论上，这听起来既合理又系统。曾经，这一理念是完全说得通的。然而如今，面对前所未有的、持续不断的威胁攻势，这就像在跑步机上奔跑，即便是最精锐的团队也难以跟上节奏。

每年，有超过40,000个常见漏洞与暴露（CVE）被披露。像CVSS和EPSS这样的评分系统会尽职尽责地将其中61%标记为“严重”。这并非优先级排序，而是大规模的恐慌。这些标签不会考虑该漏洞是否隐藏在三层身份验证之后、是否被现有控制措施阻断，或者在你特定的环境中实际上是否难以被利用。在它们看来，威胁就是威胁。

因此，团队在追逐虚无缥缈的目标时精疲力竭。他们在那些永远不会被用于攻击的漏洞上耗费时间，而少数真正重要的漏洞却被忽视，悄然溜走。这不过是打着降低风险幌子的安全演戏。

实际上，实际的风险场景看起来大不相同。一旦将现有的安全控制措施考虑在内，现实世界中只有约10%的漏洞是真正关键的。这意味着84%的所谓“关键”警报都属于虚假紧急情况，这再次耗费了本可以且本应该用于应对真实威胁的时间、预算和注意力。

引入持续威胁暴露管理（CTEM）

持续威胁暴露管理（CTEM）的开发旨在终结这种永无止境的循环。它不会让团队淹没在理论上的“关键”发现中，而是通过两个关键步骤，用清晰度取代了数量。

• 优先级排序根据实际业务影响而非抽象的严重性评分对暴露风险进行排序。
• 验证会在您的特定环境中对这些优先暴露的漏洞进行压力测试，以发现攻击者实际能够利用的漏洞。

两者缺一不可。仅进行优先级排序不过是有根据的猜测。仅进行验证则会在假设和错误问题上浪费时间。但将两者结合，就能把假设转化为证据，把冗长的清单转化为有重点、切实可行的行动。

而且其范围远远超出了CVE。正如高德纳（Gartner）预测的那样，到2028年，超过一半的漏洞将源于非技术性弱点，例如配置错误的SaaS应用程序、泄露的凭据以及人为错误。值得庆幸的是，CTEM直面这一问题，在各类漏洞中都采用了同样规范的“先优先级排序、再验证”的行动链。

这就是为什么CTEM不仅仅是一个框架。它是一种必要的演进——从追逐警报转向证明风险，从修复所有问题转向修复最关键的问题。

借助对抗性暴露验证（AEV）技术实现验证自动化

CTEM需要验证，但验证需要技巧和对抗性环境，而对抗性暴露验证（AEV）技术正好能提供这些。它们有助于进一步精简夸大的“优先级”列表，并在实践中证明哪些暴露实际上会为攻击者打开大门。

两种技术推动了这种自动化：

• 漏洞与攻击模拟（BAS）持续且安全地模拟和仿真正如勒索软件有效载荷、横向移动和数据泄露等对抗技术，以验证您特定的安全控制措施是否真能阻止其应防范的威胁。这并非一次性的演练，而是一项持续的实践，其场景映射至MITRE ATT&CKⓇ威胁框架，以确保相关性、一致性和覆盖范围。
• 自动化渗透测试更进一步，它会像真正的攻击者那样将漏洞和配置错误串联起来。它擅长发现和利用复杂的攻击路径，包括Active Directory中的Kerberoasting攻击或通过管理不当的身份系统进行的权限提升。自动化渗透测试不再依赖一年一度的渗透测试，而是让团队能够根据需求随时进行有意义的测试，测试次数也可按需而定。

BAS和自动化渗透测试共同为您的团队提供了大规模的攻击者视角。它们不仅揭示了看似危险的威胁，还能展现您环境中实际可被利用、可被检测以及可被防御的内容。

这种转变对于动态基础设施而言至关重要，在这类基础设施中，终端每天都会启动和关闭，凭证可能会在各种SaaS应用间泄露，配置也会随着每个开发周期而变化。在如今日益动态化的环境中，静态评估难免会落后。BAS和自动化渗透测试能保持验证的持续性，将暴露管理从理论转化为现实中的证据。

真实案例：对抗性暴露验证（AEV）的实际应用

以Log4j为例。它刚出现时，所有扫描器都亮起了红灯。CVSS评分给它的是10.0（严重），EPSS模型标记其具有较高的被利用概率，资产清单显示它分布在各个环境中。

传统方法给安全团队呈现的是一幅片面的图景，让他们将每个事件都视为同等紧急。结果呢？资源很快就会捉襟见肘，人们会浪费时间去处理同一个问题的重复事件。

对抗性暴露验证改变了这种说法。通过在特定环境中进行验证，团队能迅速发现并非每个Log4j实例都是危机。某个系统可能已经具备有效的Web应用防火墙（WAF）规则、补偿性控制措施或分段机制，从而将其风险评分从10.0降至5.2。这种优先级的重新排序，将其从“立即放下所有事情”的紧急警报状态，转变为“作为正常周期的一部分进行补丁更新”。

同时，对抗性暴露验证还能揭示相反的情况：SaaS应用中一个看似低优先级的配置错误可能直接导致敏感数据泄露，使其从“中等”升级为“紧急”。

对抗性暴露验证通过衡量以下内容，为您的安全团队带来实际价值：

• 控制有效性：证明漏洞利用尝试是被阻止、记录还是被忽略。
• 检测与响应：显示安全运营中心团队是否发现了该活动，以及事件响应团队是否足够迅速地对其进行了遏制。
• 运营准备情况： 揭示工作流程、升级路径和遏制程序中的薄弱环节。

在实践中，对抗性暴露验证将Log4j或任何其他漏洞从一种普遍存在的“处处危急”、需要全员戒备的噩梦，转变为精确的风险地图。它不仅能告诉首席信息安全官和安全团队存在哪些威胁，还能让他们知道这些威胁中哪些对其当前环境真正重要。

验证的未来：2025年Picus BAS峰会

持续威胁暴露管理（CTEM）提供了一种迫切需要的清晰度，这源于两个协同工作的引擎：用于聚焦精力的优先级排序，以及用于证明重要事项的验证。

对抗性暴露验证（AEV）技术有助于将这一愿景变为现实。通过结合漏洞与攻击模拟（BAS）和自动化渗透测试，这些技术能够让安全团队从攻击者的角度大规模地了解情况，不仅揭示可能发生的事情，还能揭示如果现有漏洞未得到解决，将会发生的事情。

要了解对抗性暴露验证（AEV）技术的实际应用，请加入Picus Security、SANS、黑客谷以及其他知名安全领袖，参加2025年Picus BAS峰会：通过人工智能重新定义攻击模拟。这场虚拟峰会将展示BAS和人工智能如何塑造安全验证的未来，并分享来自推动该领域发展的分析师、从业者和创新者的见解。