【Sevco 專訪】一個時代的結束：從漏洞管理走向曝險管理的現代化轉型

作者：Sevco Security 團隊 ｜ 編譯：AIShield 編輯部 ｜ 發稿日期：2025 年 10 月 29 日

導讀摘要

🔹 傳統漏洞管理（VM）正逐步被曝險管理（Exposure Management, CTEM）取代。

🔹 Sevco 強調 Data-First 架構：整合資產、控管與風險資料，建立單一可信真相。

🔹 CTEM 五步驟（範疇、發現、優先化、驗證、行動化）成為新時代資安基礎。

🔹 核心目標：讓安全決策從「修補漏洞」進化為「量化曝險與風險治理」。

一、從漏洞管理到曝險管理：時代的轉折

關鍵觀點：傳統漏洞管理時代已結束，安全焦點轉向整體曝險治理。

在 Black Hat USA 2025 大會上，Sevco Security CEO J.J. Guy 與 CyberRisk TV 主持人 Matt Alderman 展開了一場深度對談，主題是「漏洞管理的現代化」。這場對話不僅關於掃描與修補漏洞，而是探討資安管理邏輯的根本轉型 — 從「漏洞導向」邁向「曝險導向」。

J.J. Guy 形容這個轉折為「一個時代的結束」。過去二十多年，企業投資於弱掃工具與修補系統，但漏洞仍層出不窮。問題不在於資料不足，而在於缺乏整體脈絡（Context）與可見性（Visibility）。

以下是本次訪談的精華整理，以供讀者們深入了解。

二、CAASM 的誕生：先看清楚，才能防禦

關鍵觀點：CAASM 是現代曝險管理的基石。

Matt Alderman 犀利地指出，在過去的二十多年裡，漏洞管理（Vulnerability Management）作為一個產業課題，我們似乎已經失敗了。J.J. Guy 認同這一點，並解釋了 Sevco 最初的切入點並非直接挑戰傳統漏洞掃描，而是從 CAASM（Cyber Asset Attack Surface Management，網路資產攻擊面管理）出發。目的是讓企業能夠完整掌握自己擁有哪些資產、它們位於何處、誰在使用，建立一份「絕對可信的資產清單」。

J.J. Guy 表示，許多資安問題的根源在於一個最基礎且被長期忽視的環節：資產清單（Asset Inventory）。

過去的問題是：安全團隊「以為」自己知道公司有哪些設備與應用，但實際上往往有遺漏或重複，導致漏洞修補與代理部署失焦。

J.J. Guy 以自身經驗說明：

因此，CAASM 讓企業能重新掌握防禦基礎：

✅ 清楚知道有哪些設備、應用與雲端帳號

✅ 驗證每個控管是否實際部署

✅ 建立跨部門一致的資產真相

這是曝險管理的第一步，也是最容易被忽略的一步。

三、CTEM 框架：從漏洞掃描到曝險治理

關鍵觀點：CTEM 是 Gartner 定義的新一代安全運營框架。

當資產視圖建立後，下一步是將它轉化為風險治理。

Gartner 在 2023 年提出 CTEM（Continuous Threat Exposure Management），定義曝險管理的五大階段：

1️⃣ Scoping（範疇界定） — 明確定義哪些業務與系統最關鍵。

2️⃣ Discovery（資產發現） — 找出所有可能的曝險與漏洞。

3️⃣ Prioritization（優先化） — 根據業務脈絡與風險排序修補。

4️⃣ Validation（驗證） — 透過模擬攻擊或測試確認影響。

5️⃣ Mobilization（行動化） — 將結果轉化為修補計畫與長期策略。

CTEM 的重點在於：「不只是發現漏洞，而是持續管理曝險。」這是從「技術流程」到「策略決策」的根本升級。

四、舊時代的困境：掃描器的極限

在 1990～2000 年代，漏洞管理的主要手段是使用「網路掃描器（Network Scanner）」：掃描內網設備、比對 CVE 編號、生成報告。

J.J. Guy 強調，任何漏洞評估計劃的品質都受限於兩個關鍵能力：

1. 可視性（Visibility）： 你使用的掃描工具是否實際涵蓋了所有的設備？

2. 控制部署： 你用於修補（Patching）這些設備的工具是否確實安裝在該設備上？

   
   

但到了今日的多雲與遠端環境，這種方法明顯落後。現代企業的架構包括：

• 多雲環境（AWS、Azure、GCP）

• 行動裝置與容器平台

• SaaS 應用與外包服務

  
  

結果是：掃描器能看到的，只是整個曝險面的「冰山一角」。企業往往同時擁有多份資產清單（CMDB、弱掃報表、雲帳號列表），彼此重疊卻不一致。

單一類型的技術（如網路掃描）已不足以應對當前的攻擊面。為獲得一個完整且準確的清單，必須將不同技術測量所得的資料聚合在一起，形成一個統一的視圖。這就好比情報學中的「多光譜圖像融合」，唯有將來自各方的資訊融會貫通，才能建立起一個堅實的數據底層（Data Fabric），為所有的漏洞管理工作打下基礎。

五、Data-First：讓資料成為新防禦核心

關鍵觀點：多源資料融合是現代安全可視化的基礎。

Sevco 的解法是「Data-First 架構」— 不依賴單一掃描器或代理，而是融合多種資料來源。

這些資料包括：

• 雲端平台（AWS、Azure、GCP）

• EDR／EPP 工具（如 CrowdStrike、SentinelOne）

• CMDB、Active Directory、身份管理系統

• 弱掃與修補管理工具

  
  

透過整合這些來源，Sevco 建立單一可信真相（Single Source of Truth），能即時呈現哪些代理缺失、哪些補丁未部署、哪些設備未納入掃描。

根據 Sevco 的分析：

這樣的可見性差距，正是攻擊者最容易利用的盲區。

六、曝險優先化：從 CVE 到商業脈絡

關鍵觀點：CTEM 讓漏洞管理變成決策引擎。

當資料整合完成後，Sevco 的下一步是曝險優先化（Exposure Prioritization）。這不只是照 CVSS 分數修補，而是依據業務脈絡、使用情境與實際風險權重。

這個過程結合多維度資訊：

• 裝置用途（是否為關鍵伺服器）

• 應用關聯（是否連接機敏資料庫）

• 控管狀態（是否缺少代理或補丁）

• 外部暴露（是否可被網際網路存取）

他們以「商業脈絡優先化（Business Context Prioritization）」模型，將 CVE、配置、使用者行為與應用關聯整合，建立曝險地圖（Exposure Map），幫助團隊聚焦最具風險的領域。

這不只是技術問題，而是策略對齊：

七、CTEM 的價值：安全語言與商業語言對齊

關鍵觀點：曝險管理讓 CISO 能與高層講「風險語言」。

曝險管理最大的突破，不僅是技術進步，而是語言轉換。CISO 不再只報告 CVE 修補率，而能回答 CFO 想知道的問題：

• 「這個風險可能造成多少損失？」

• 「修補這個漏洞能降低多少營運曝險？」

• 「我們的風險趨勢是改善還是惡化？」

CTEM 提供一個可量化、可視化的決策介面，讓技術數據轉化為風險指標，讓安全團隊與決策層有共同語言。

八、展望未來：從修補到預測

J.J. Guy 預告，Gartner 將於 2025 年底發佈新版 曝險評估平台（Exposure Assessment Platforms） 魔力象限，代表曝險管理已成為安全策略的核心。

Sevco 將持續以 Data-First、Bottom-Up 的哲學推動現代化安全運營，將 CAASM、CTEM、雲端可視化與風險分析整合成完整生態。

🔍資安名詞小辭典（本篇術語快速解釋）

CAASM（Cyber Asset Attack Surface Management）

網路資產攻擊面管理。用來整合各系統的資產資訊，確保企業知道自己擁有哪些設備與應用。

CTEM（Continuous Threat Exposure Management）

持續威脅曝險管理。Gartner 提出的新框架，用來幫助企業以風險為中心管理曝險面。

CVE（Common Vulnerabilities and Exposures）

這是一個公開的資安弱點清單，每個已知的軟體弱點都會被賦予一個獨特的編號，以便於追蹤和管理。

漏洞管理 VM（Vulnerability Management）

傳統安全流程，專注於發現與修補系統漏洞，但缺乏對整體風險的評估。

想了解更多關於 Sevco CTEM 架構 如何協助企業落實「可見性、優先化與策略量化」？ 立即聯絡：contact@aishield.com.tw

本文翻譯自 Sevco Security 原文：“The End an Era: Moderrmnizing Vulnerability Management”

原文出處：Sevco Security 部落格文章

發佈日期：2025 年 8 月 22 日