ESG 研究報告：Elevating Security with Risk-based Vulnerability Management

安全風險管理需要有效的弱點管理，而不只是時點或突發性的弱點評估。評估固然重要，但評估只是在現代 IT 環境中管理安全風險和態勢的方案中的一部分。

這份 Enterprise Strategy Group (ESG) 白皮書探討了風險型弱點管理 (RBVM) 方案的需要，以便有效降低風險並強化安全態勢。該報告充分展現 Tenable Vulnerability Management 作為一款現代化、為特定用途打造的平台所帶來的價值，它是協助企業從弱點評估進化為現代弱點管理方案的核心。

傳統的 [弱點評估] 工具本身的價格可能更低，不過，和軟體省下來的成本相較，對發現結果採取有效行動所需的額外工時成本，可能還更昂貴。(我們的譯文)

研究重點：

• 企業目前的弱點管理流程與工具面臨多重挑戰，有 28% 的企業在使用無法自動化的工具時感到困難，而 28% 的企業對於沒有修補程式可用的弱點缺少詳細的追蹤功能
• 76% 的企業曾遭遇因未知、未受管理或管理不當的面向網際網路資產而造成的網路攻擊
• 超過四分之一的企業仰賴風險分數來排定弱點的優先順序，例如某個攻擊破綻管理系統 (28% 如是表示) 或弱點管理工具 (28%) 所提供的分數，而將近三分之一 (30%) 的企業則根據業務關鍵性來排定弱點的優先順序

原文：Enterprise Strategy Group by TechTarget 白皮書：Elevating Security With Risk-based Vulnerability Management，作者：資深分析師 David Vance，發表日期：2024 年 6 月