【Sevco 曝險評估平台】CTEM 時代資安管理的關鍵角色與趨勢解析
- Estrella Wei
- 6月4日
- 讀畢需時 6 分鐘
已更新:8月11日
作者:Sevco Security 團隊 | 編譯:AIShield 編輯部 | 發稿日期:2025 年 6 月 10 日
今天,我們要深入剖析資安漏洞管理領域的演進——傳統方法如何因攻擊面擴大而面臨挑戰,以及為什麼**曝險評估平台(EAPs)**會成為未來健全資安營運的關鍵。
我們會先回顧漏洞評估工具的發展歷程,接著檢視攻擊面擴大帶來的影響,並探索 Gartner 如何透過「持續威脅曝險管理」(Continuous Threat Exposure Management, CTEM)形塑業界的應對策略。最後,我們將深入解析曝險評估平台如何整合關鍵資安功能,以實現更有效的風險管理。
十年巨變:從傳統漏洞管理邁向新時代
十到十五年前,防護攻擊面簡單許多。企業主要專注於地端資產——像是端點設備和伺服器。當時,漏洞評估工具(例如 Tenable、Rapid7、Qualys 等)可以執行網路掃描、偵測資產,並找出需要修補的通用漏洞與曝險(CVEs)。這套流程在當時 IT 基礎設施高度集中的環境下,運作得相當順暢。
然而,情勢卻風雲變色——數位工作的新時代迅速崛起。SaaS 應用程式、Slack 和 Google Workspace 這類協作平台,以及雲端服務的爆炸性成長,都帶來了新的資安挑戰。疫情期間遠距工作的轉變,更加速了這些趨勢,讓攻擊面超出了傳統的網路邊界。資安團隊突然發現自己必須管理橫跨行動裝置、筆電、雲端環境、個人家庭網路和 API 的風險——這導致資安情境變得破碎且日益複雜。
攻擊面擴大:更多資產、更多漏洞、更複雜
隨著 IT 環境的擴張,需要資安監管的資產數量和種類都大幅增加。現在,資安不再只是端點和伺服器而已——資安團隊還得考量行動裝置與身份、第三方風險、物聯網(IoT)、SaaS 應用程式和雲端環境。除了這些多樣化的資產類型,企業還需要了解與資產相關的脈絡,包括相關使用者、已安裝或遺失的應用程式等。
這種轉變也暴露出傳統漏洞評估工具的根本限制:它們的設計目的,並非追蹤或評估現代企業營運中所有關鍵資產的廣泛範圍。
除了攻擊面擴大,漏洞問題也日益複雜。近年來,CVE 數量激增,讓資安團隊疲於應付不斷累積的待處理問題。同時,這些資安團隊還需要跳脫 CVE,去關注新型態的曝險——例如錯誤配置、缺乏安全控制措施、軟體過時、生命週期終止(EOL)系統等——這些問題對企業的資安態勢而言,重要性不亞於 CVE,甚至更甚。
雲端資安態勢管理(CSPM)和應用程式資安態勢管理(ASPM)又增加了更多複雜性。傳統為較不複雜、較不具動態環境設計的漏洞評估工具,現在已難以跟上腳步。
市場轉變:新資安類別的興起
隨著這些挑戰不斷加劇,新的供應商類別應運而生,以解決資產可視性和漏洞管理上的關鍵缺口:
網路資產攻擊面管理(CAASM): 透過整合並去重複來自多個資安工具的資料,建立多來源的資產清單,解決資產盤點的問題。
漏洞優先排序工具(VPT): 協助資安團隊量化 CVE 相關風險,以便優先處理和修補,讓他們能專注於最緊迫的風險。
外部攻擊面管理(EASM): 提供外部面向資產的可視性,例如攻擊者可能利用的網站和 IP 位址。
Sevco Security 在 2020 年進入 CAASM 領域,旨在解決資安最基本的需求之一——一個即時的資產清單,能為企業提供其環境中資產存在與狀態的更精確、更全面的圖像。這份清單可以告訴資安團隊,這些資產是否從關鍵資安工具中遺失,或者因為錯誤配置而處於無防護狀態。從這個基礎出發,Sevco 能力的自然延伸就是進入漏洞優先排序領域,使資安團隊能夠將 CVE 等漏洞映射到他們的資產清單,此外還能提供漏洞攻擊情資和業務脈絡,從而更有效地降低風險。
碎片化問題:孤立的資安解決方案只會增加工作量,而非減少
儘管有這些創新,一個根本問題依然存在:資安團隊現在擁有更多的資料,但這些資料分散在多個無法彼此溝通的工具中。這種孤立的方法不僅沒有簡化風險管理,反而增加了營運負擔。企業需要一種方法來整合資產清單、漏洞管理、外部威脅情境和風險優先排序,形成一個有凝聚力的策略。
這就是**持續威脅曝險管理(CTEM)**登場的時刻。
CTEM 框架:主動式資安的藍圖
2022 年,Gartner 推出持續威脅曝險管理(CTEM),這是一個框架,讓企業能夠持續識別、評估、優先排序、驗證並修復所有資產的風險。CTEM 計畫透過五大支柱協助企業應對這些挑戰:
範圍界定(Scoping): 定義企業的資產和威脅情境。
探索(Discovery): 識別環境中的漏洞和錯誤配置。
優先排序(Prioritization): 根據潛在影響評估並排序風險。
驗證(Validation): 模擬和測試威脅以確認實際曝險。
動員(Mobilization): 執行修復行動並監控改善情況。
CTEM 框架為資安產業提供了一個急需的結構化方法。然而,它也突顯了對新型科技的需求——一種能將所有這些元素整合在一起的科技。許多企業現在正轉向「曝險評估平台(EAP)」來推動這些計畫。
曝險評估平台(EAPs)的興起
2024 年,Gartner 更進一步,將多個資安類別——漏洞評估(VA)和漏洞優先排序(VPT)——整合為單一類別:曝險評估平台(EAPs)。
EAP 讓企業能夠有效解決其最關鍵的資安缺口,透過優先處理基於實際影響的漏洞。《2024 年 Gartner® 安全營運技術成熟度曲線報告》(2024 Gartner® Hype Cycle™ for Security Operations)指出,曝險評估平台代表著資安技術的重大進步。
如前所述,當今的資安團隊管理著其環境中大量的資產。而我們也已經說明,傳統的漏洞管理工具在提供全面可視性和主動式風險緩解方面往往力有未逮,無法有效保護來自如此多樣來源的資料。
EAPs 代表了資安營運的自然演進,旨在:
整合來自漏洞評估工具、CAASM 解決方案、EASM 情資和威脅情報的資安資料。
全面優先處理曝險,考量錯誤配置、身份風險和外部可利用性——不僅僅是 CVEs。
透過為資安團隊提供清晰、可操作的情報,實現有效修復。
這種轉變預示著資安領域將從零碎的、針對單一工具的解決方案,轉向整合資產可視性、漏洞評估和風險優先排序的全面風險管理平台,形成一個有凝聚力的解決方案。
Sevco 的願景:統一的曝險管理方法
在 Sevco Security,我們相信精確、動態的資產清單是任何有效資安計畫的基礎。如果無法即時了解有哪些資產、它們位於何處以及誰擁有它們,就無法有效管理風險。
我們以業界領先的 CAASM 解決方案為基礎,打造了 Sevco 曝險評估平台。我們相信,將您的資安工具資料整合到單一儀表板,能讓您做出更好的決策,主動降低風險。重要的是,Sevco 將所有類型的漏洞整合到一個平台。我們將 CVEs——透過映射至資產,全面掌握傳統軟體漏洞及其構成的風險——與我們所稱的「CAASM 漏洞」(如代理程式遺失或配置錯誤、生命週期終止系統、影子 IT 等)結合,提供資安團隊比任何其他單一工具更好的環境風險狀況圖。透過整合曝險探索、風險優先排序和修復啟用,我們正在協助企業超越傳統漏洞管理,擁抱主動的、以曝險為導向的資安方法。
下一步怎麼走?
隨著資安團隊努力應對不斷擴大的攻擊面和日益複雜的現代 IT 環境,整合和自動化的需求從未如此迫切。Sevco Security 平台代表了曝險管理的下一個前沿,提供全面的可視性、漏洞利用與漏洞情報,以及自動化,這是領先威脅並降低風險所需的。
如果您準備好對管理攻擊面採取主動積極的態度,AIShield 可以助您一臂之力,立即聯絡:
本文翻譯自 Sevco Security 原文:“ Why Exposure Assessment Platforms Are the Future ”
發佈日期:2025 年 2 月 28 日
原文連結:Sevco Security 部落格文章
