《Gartner十大安全專案之“基於風險的弱點管理專案”》

其中“基於風險的弱點管理專案”，是在 2018 年被正式提出，在 2018 和 2019 年被稱為“ 符合CARTA方法論的弱點管理專案 ”，在 2020 年被更新為現在的更適合的名稱。

Vulnerability在此處表達的是“弱點”，而非“漏洞”，是因為弱點包含漏洞，也包含其他能引起業務風險的方面，比如配置不安全、資訊洩露等。另外，弱點管理也並不僅僅是檢測和發現弱點，比如漏洞掃描、滲透測試、配置核查等都僅屬於發現弱點，而此處的“管理”，更多的是需要針對弱點進行發現和評估、並進行處置優先順序排序，以及弱點補償控制等一些列形成閉環的工作 。

Gartner 在 2 020 年提出以 VPT （弱點優先順序技術），用於替換和升級 TVM （威脅和弱點管理）。這也是“基於風險的弱點管理專案”的核心技術和工具，本專案需要以 VPT 將弱點的發現、評估、優先順序排序、工作流程、處置方式和效果、自動化措施等序列在一起，形成整個風險管理的閉環和迭代提升 。

弱點管理是安全運營的基本組成部分。補丁從來都不能等同對待，應該透過基於風險優先順序的管理方式，找到優先需要處理的弱點並進行補償性管理，從而顯著降低風險 。

從漏洞的角度來說，現實已經表明，漏洞太多了，層出不窮，如果每個重要的漏洞都要去處理，是不現實的，應該首先聚焦在可被利用的漏洞上。進一步講，你如何知道一個漏洞是否已經可被利用？這時候就需要漏洞情報，不是關於漏洞自身的情況，而是關於漏洞利用（ EXP ）和漏洞證明（ POC ）的情報 。

透過《X-Force威脅情報指數 2020 》的顯示，真實的網路攻擊有 90% 來自於釣魚攻擊、漏洞攻擊、弱口令和非授權攻擊。其中漏洞攻擊佔到大約 30% 左右 。

作為基於風險的弱點管理專案的核心技術VPT，應該關注與對造成最主要的威脅的弱點進行採集，並且結合系統重要程度、威脅利用難易程度和緊急情況等，進行優先順序分配和處理，結合經驗和流程儘量形成自動化處置（包括但不限於打補丁、緩解、轉移、接受等），並對處置結果和效果進行驗證和評判。

    零零信安VPT產品，正是針對弱點優先順序專案和解決該類問題研發的安全風險管理產品，其強大和豐富的弱點優先順序管理能力，能夠幫助企業立竿見影的管理最緊迫和最棘手的安全威脅 。

完善的漏洞統計與處置狀態分析：

詳細的漏洞資訊，便捷的漏洞處置操作：