CTEM 的核心：优先级排序和验证

尽管投入了大量的时间、精力、规划和资源，即使是最先进的网络安全系统也仍然会每天发生故障。这是为什么呢？

这并不是因为安全团队缺乏洞察力。恰恰相反。每个安全工具都会产生成千上万的漏洞。修补这个。阻止那个。调查这个。这就像一场红点海啸，即使是世界上最顶尖的团队也无法清除。

另一个令人不安的事实是：大部分都无关紧要。

修复所有问题是不可能的。试图修复更是徒劳无功。聪明的团队不会浪费宝贵的时间去处理毫无意义的警报。他们明白，保护组织的关键在于了解哪些漏洞实际上会危及业务安全。

正因如此，Gartner 提出了持续威胁暴露管理 (CTHM)的概念，并将优先级排序和验证置于核心地位。这并非关乎更多仪表板或更美观的图表，而是要缩小关注范围，将攻击重点集中在少数真正重要的暴露上，并证明您的防御措施能够在真正需要的时候和地点有效发挥作用。

传统漏洞管理的问题#
漏洞管理建立在一个简单的前提之上：找出所有漏洞，对其进行排序，然后进行修补。理论上，这听起来合乎逻辑且系统性强。曾经有一段时间，它非常合理。然而，如今，面对着前所未有的、持续不断的威胁，它就像一台跑步机，即使是最强大的团队也难以跟上。

每年，超过4 万个常见漏洞和暴露 (CVE)被曝光。CVSS 和 EPSS 等评分系统会将其中 61% 的漏洞标记为“严重”。这并非优先级排序，而是大规模恐慌。这些标签并不关心漏洞是否隐藏在三层身份验证之后，是否被现有控制措施阻止，或者在您的特定环境中是否几乎无法利用。在它们看来，威胁就是威胁。


图 1：预计漏洞数量
因此，团队拼命追寻“幽灵”漏洞。他们耗费大量时间在那些永远不会被利用的漏洞上，而少数真正重要的漏洞却悄无声息地溜走了。这不过是一场伪装成降低风险的安全闹剧。

但现实情况却大相径庭。考虑到现有的安全控制措施，现实世界中只有约10%的漏洞真正属于关键漏洞。这意味着84%所谓的“关键”警报都只是虚假的紧急警报，这再次浪费了我们本应投入到应对真正威胁的时间、预算和精力。

进入持续威胁暴露管理 (CTEM)

持续威胁暴露管理 (CTEM) 的诞生，旨在终结永无止境的单调乏味。它不再让团队淹没在理论上的“关键”发现中，而是通过两个关键步骤，以清晰的思路取代冗杂的繁琐工作。

优先级是根据实际业务影响而不是抽象的严重性分数来对风险进行排序的。
验证压力测试针对您的特定环境对这些优先暴露进行测试，以发现攻击者实际上可以利用哪些暴露。
两者缺一不可。单靠优先级排序只是基于经验的猜测。单靠验证只会浪费时间在假设和错误的问题上。但两者结合起来，就能将假设转化为证据，将无尽的清单转化为有针对性的、切实可行的行动。


图 2：CTEM 实际运行情况
而且其范围远不止 CVE。正如Gartner 预测的那样，到 2028 年，超过一半的漏洞将源于非技术性弱点，例如配置错误的 SaaS 应用、凭证泄露和人为错误。值得庆幸的是，CTEM 正面解决了这个问题，对每种漏洞都应用了同样严格的“优先处理-验证”行动链。

这就是为什么 CTEM 不仅仅是一个框架。它是从追踪警报到证明风险、从修复所有问题到修复最重要的问题的必要演变。

利用对抗暴露验证 (AEV) 技术实现自动化验证#
CTEM 需要验证，但验证需要技巧和对抗性背景，而对抗性暴露验证 (AEV) 技术能够提供这些功能。它们有助于进一步突破夸大的“优先级”列表，并在实践中证明哪些暴露实际上会为攻击者打开方便之门。

两种技术推动了这一自动化：

入侵与攻击模拟 (BAS)持续安全地模拟和仿真各种对抗技术，例如勒索软件负载、横向移动和数据泄露，以验证您的特定安全控制措施是否能够真正阻止其预期行为。这不是一次性演习，而是一项持续性的实践，其场景与 MITRE ATT&CK Ⓡ威胁框架相对应，以确保相关性、一致性和覆盖范围。
自动渗透测试更进一步，像真实攻击者一样串联漏洞和错误配置。它擅长发现和利用复杂的攻击路径，包括 Active Directory 中的 Kerberoasting 攻击或通过管理不善的身份系统进行权限提升。自动渗透测试不再依赖于年度渗透测试，而是允许团队根据需要，根据需要频繁地运行有意义的测试。

图 3：BAS 和自动渗透测试用例
BAS 和自动化渗透测试相结合，为您的团队提供大规模攻击者视角。它们不仅能揭示看似危险的威胁，还能揭示您的环境中实际可利用、可检测和可防御的威胁。

这种转变对于动态基础架构至关重要，因为终端每天都会频繁启动和关闭，凭证可能会在 SaaS 应用程序中泄露，并且配置会随着每次迭代而变化。在当今日益动态的环境中，静态评估必然会落后。BAS 和自动化渗透测试可以持续进行验证，将风险暴露管理从理论转化为实际应用。

真实案例：对抗暴露验证（AEV）的实际应用#
以Log4j 为例。它首次出现时，所有扫描器都亮起了红灯。CVSS 评分给它10.0（严重）， EPSS 模型标记了高利用率，资产清单显示它分散在各个环境中。

传统方法让安全团队对问题一无所知，并指示他们将每个实例视为同等紧急。结果如何？资源迅速分散，浪费时间追踪重复出现的相同问题。

对抗性暴露验证改变了叙事。通过在上下文中进行验证，团队可以快速发现并非每个 Log4j 实例都构成危机。一个系统可能已经拥有有效的 WAF 规则、补偿控制或分段，从而将其风险评分从 10.0 降至 5.2。这种优先级的重新调整使其从“立即放弃一切”转变为“将修补作为正常周期的一部分”。

同时，对抗性暴露验证还可以揭示相反的情况：SaaS 应用程序中看似低优先级的错误配置可能直接导致敏感数据泄露，从而将其从“中等”提升为“紧急”。


图 4：验证 Log4j 漏洞的真实风险评分
对抗性暴露验证通过测量以下内容为您的安全团队提供真正的价值：

控制有效性：证明漏洞利用尝试是否被阻止、记录或忽略。
检测和响应：显示 SOC 团队是否看到该活动以及 IR 团队是否足够快地遏制该活动。
运营准备：暴露工作流程、升级路径和遏制程序中的薄弱环节。
在实践中，对抗暴露验证可以将 Log4j 或任何其他漏洞从泛泛而谈的“无处不在、至关重要”的噩梦转变为精准的风险地图。它不仅能告诉 CISO 和安全团队存在哪些威胁，还能告诉他们当前环境中哪些威胁真正重要。

验证的未来： 2025 年 Picus BAS 峰会#
持续威胁暴露管理 (CTEM) 提供了急需的清晰度，它来自两个引擎的协同工作：优先排序以集中精力，以及验证以证明重要的事情。

对抗暴露验证 (AEV) 技术有助于实现这一愿景。通过结合入侵与攻击模拟 (BAS)和自动渗透测试，AEV技术能够向安全团队大规模展示攻击者的视角，不仅揭示可能发生的情况，还能揭示如果现有漏洞得不到解决将会导致什么后果。

想要了解对抗暴露验证 (AEV) 技术的实际应用，欢迎与Picus Security、SANS、Hacker Valley 和其他知名安全领袖一起参加2025 年 Picus BAS 峰会：通过人工智能重新定义攻击模拟。本次虚拟峰会将展示 BAS 和人工智能如何塑造安全验证的未来，并提供分析师、从业者和创新者的见解，推动该领域的发展。