Victor Kameyama，派拓網絡IoT安全高級產品經理

Victoria Wright，派拓網絡企業IoT產品市場副經理

在當今的威脅形勢下，漏洞數量成倍增長，給網絡和安全團隊在確定修復工作的優先級和實現業務價值最大化方面帶來了巨大挑戰。公開數據顯示，僅2023年就有近2.9萬個常見漏洞（CVE）被披露，較前一年的CVE數量增長了15%。

在部署工業和醫療設備的關鍵基礎設施環境中，維持關鍵任務系統的正常運行以及確保患者護理和安全對于運營技術（OT）、生物醫學和網絡安全團隊至關重要。影響物聯網（IoT）、OT和醫療物聯網（MIoT）資產的CVE數量在不斷增加，不僅給這些團隊帶來了巨大的壓力，還妨礙了他們修復嚴重影響業務持續運營的風險。

基于風險的漏洞管理

許多企業一直在使用通用漏洞評分系統（CVSS），通過這一評估網絡安全漏洞特征和嚴重性的行業標準來確定漏洞修復的優先級。

自2005年發布以來，CVSS已經過三次重大修訂，加入了更加準確反映漏洞嚴重性的指標和評分標準。通過這三次修訂，該標準使得考慮具體漏洞的上下文關系在評估其風險方面起到重要作用。雖然使用了 “時間 ”和 “環境 ”指標組解決這一問題，但它們反映的特征隨時間變化并且是個別企業所特有的，因此屬于“可選”指標。另外，這些指標需要進行人工評估，增加了企業的開銷并消耗了大量的時間和資源。由此可見，CVSS并未真正超出基礎指標的范圍。

如果企業僅依靠CVSS基礎分數確定優先級，可能導致他們未能將重點放在真正關鍵的事項上。一個CVSS基礎分數很高的CVE被攻擊者利用的可能性或許很低，或者只影響企業中不太重要的資產，例如：運行關鍵工業控制系統的PLC中的漏洞對企業造成的業務影響可能高于一個微不足道的測試實驗室中的漏洞。

尤其是對于關鍵的OT和醫療健康環境，系統正常運行時間和患者安全是決定性的指標，因此采用更好的漏洞優先級排序方法更為重要。在安裝補丁時，需要不同團隊提供資源和進行協調，有時還需要外部承包商/原設備制造商配合確定補丁的優先級、測試補丁和規劃維護窗口。在許多情況下，維護窗口由于會影響關鍵運營并且可能需要設備長時間停機，因此很難確保安全。在進行全部這些工作的同時，先處理優先級較低的漏洞不僅會導致資源分配不合理，還可能暴露企業最關鍵的基礎設施，造成運營、財務與合規方面的重大損失。

派拓網絡認為更有效的漏洞優先級排序方法應評估漏洞帶來的風險，不僅要考慮其嚴重程度，還要考慮當前的威脅形勢和脆弱資產的上下文關系。這種考慮上下文關系的方法應能夠靈活適應與企業環境相關的獨特因素（類似于在“時間/威脅”和“環境”指標組中定義的因素），并自動提供優先級排序的相關洞察，以便更快采取有力的漏洞響應措施。這便是派拓網絡基于風險的漏洞管理方法所起到的作用。

推出基于風險的漏洞管理方法

派拓網絡很高興宣布，在我們的企業IoT/工業OT/ MIoT安全解決方案中加入基于風險的漏洞管理功能，這項最新功能將解決許多企業因漏洞數量成倍增長而面臨的漏洞優先級排序難題。

派拓網絡的解決方案結合漏洞指標與威脅和資產的深入上下文關系，在對每個漏洞進行風險評估的同時自動進行計算，不僅減少運營開銷，還加快了大規模的漏洞響應。漏洞按照風險程度分級，根據優先級可識別和篩選客戶環境中存在實際風險的CVE。

事實上，派拓網絡的美國客戶群已經采用了這種基于風險的漏洞優先級排序方法，結果顯示該方法能夠將漏洞噪聲降低90%。平均只有10%的關鍵嚴重性CVE（CVSS分數）被列為最高優先級，這有助于區分真正有風險的CVE與其他不太會構成重大風險的CVE。

派拓網絡的優先級排序方法不僅有助于減少CVE負載，還能指出那些雖然CVSS基礎分數較低，但潛在風險比高分CVE更大的CVE。若僅采用CVSS基礎分數作為優先級排序的依據，這些CVE可能會被忽略。

了解派拓網絡方法背后的更多技術細節，敬請訪問我們的實時社區博客。

總結

基于風險的漏洞優先級排序方法是派拓網絡IoT/OT/ MIoT安全解決方案中的眾多創新之一。該方法在幫助企業保護各種設備安全的同時，大大優化了運營。這些解決方案提供的零信任架構功能全面，使企業能夠快速發現每臺設備、了解它們的攻擊面、確定風險緩解工作的優先級，并通過上下文豐富的安全策略建議和漏洞威脅簽名，保護難以安裝補丁的脆弱IoT、OT和MIoT設備，阻止利用漏洞的企圖。

進一步了解派拓網絡的IoT/OT安全解決方案能為企業做什么，敬請訪問以下鏈接：

•  企業IoT安全簡介 | 即將舉行的實踐研討會

•  MIoT安全 – 簡介 | 即將舉行的實踐研討會

•  工業OT安全 – 簡介 | 即將舉行的實踐研討會

派拓網絡希望幫助企業保護設備安全，歡迎點擊這里免費試用我們的產品。