前言

从计算机时代、互联网时代，到如今的数字时代，国内安全产业一直在学习与创新中向前发展。一方面伴生于IT基础设施的演进，先后出现终端安全、移动安全、云安全、物联网安全等新的安全赛道，另一方面跟随于美国、以色列等西方安全创业公司的安全理念、技术概念，我们也在不断推出着新产品、新服务。学习与创新，是国内安全产业多年来最重要的主题。

然而，数世咨询认为，与“新”相对的，在甲方用户的实际安全工作中，却也面临着一些多年“痼疾”难以解决。安全需要补课，Vulnerability即是其中最典型的问题。

具体来说，Vulnerability有三个方面需要补课：

1、如何准确将外部威胁与自身存在的脆弱性进行关联对应？
2、如何在众多脆弱性当中确定优先需要关注修复的漏洞？
3、在漏洞修复前、修复后，如何对风险的变化进行评估和度量？

这里笔者没有完全以“漏洞”来做为Vulnerability的翻译，而以其本意“脆弱性”来称呼，是因为当传统的漏洞扫描器产品发展为更全面的攻击面管理解决方案时，“脆弱性”的说法相比而言更加全面；同时，“脆弱性”的说法也更贴近用户对安全的期待，即基于风险视角，对资产、身份、漏洞等基础工作进行补课，构建持续的脆弱性风险管理能力——安全应当真正有效、有价值。

鉴于此，数世咨询基于田野调查，广泛征集国内安全企业的相关产品、服务、解决方案后撰写本报告，希望厘清“基于风险的脆弱性管理”这一概念，并帮助一线用户了解国内安全企业相关能力的现状。

勘误或进一步沟通，请联系本报告主笔分析师刘宸宇：liuchenyu@dwcon.cn

关键发现

1　市场概况

1.1　市场规模

本次调研，共收到17家安全企业的调研表，同时线下走访、线上调研十余家。据统计，国内RBVM市场规模约为11.85亿元人民币，同比增长25.47%。参考各家对2024年的预期营收，以25%的增长率预计，2024年国内RBVM市场规模将达到15亿元。 

图例：2023年度国内RBVM市场规模统计及预测

1.2　能力企业

本报告将参与本次调研的企业，分别以横轴-市场执行力、竖轴-应用创新力两个维度，在数世咨询能力指南点阵图中加以呈现，如下图所示：

要说明的是，本次调研，点阵图中的各企业RBVM的技术基因并不一致，大致分为三类：

之所以将三类不同技术基因的企业放在同一张图中列出，是因为对甲方用户来说，解决问题的最终诉求是一致的，都是基于单点安全工具或合规类产品，进阶为基于风险的脆弱性管理解决方案，从传统形式合规走向获取安全价值。

为了满足用户的这一诉求，三类安全企业起点不同、路径不同，但目标相同，都是通过补好“脆弱性”这门课，将安全能力落在实处，协助甲方降低潜在损失，提升业务的竞争力。

1.3　能力交付模式 

图例：国内RBVM产品的交付模式占比

根据调研数据， RBVM以单一标准化产品交付的比例仅为52%，刚刚超过一半，以定制化产品交付运营的比例达到30%，作为安全项目中的一个功能交付的比例为18%。如上图。

交付模式占比中可以看出，定制化与功能化交付的比例较高，这表明虽然是从传统漏洞评估与管理演变而来的解决方案，但RBVM仍然处在与用户需求不断磨合的阶段。背后的主要原因在于RBVM的核心能力“优先级判定”所需的上下文与用户的业务优先级、资产关键性等高度相关，更多细节，后面的能力部分会有详述。

1.4　各行业需求占比

根据安全厂商在各行业的收入分布情况，本次调研也统计了RBVM在各行业中的需求占比，整体而言较为平均，排名前五的行业为金融26%、运营商14%、监管机构11%、地方政府7%以及国家部委6%。如下图所示：

图例：国内RBVM在各行业的需求占比

从饼图中可以看到，分布排名前三的行业“金融、运营商与监管机构”其占比之和为51%，已经超过了半数。一方面说明，“关基”行业的整体安全投入更高；另一方面也说明这些“强监管”的行业更加重视漏洞/脆弱性的风险管理，或者换句话说，需要依靠RBVM作为更为有效的风险管理手段。

值得一提的是，本调研中的行业分布是将“能源”行业拆分为电力、石油石化、燃气/管网以及水利等多个细分行业，如果将这些行业以“大能源”进行归总统计，其占比也可达到11%，进入前三（并列）。这说明，“能源”也是RBVM的主要应用行业之一。

2　概念描述

2.1　基于风险的脆弱性管理RBVM

本报告将基于风险的脆弱性管理（Risk-Based Vulnerability Management – RBVM）描述为：基于用户的业务需求场景与资产攻击暴露面，结合Exp可用性、TTPs等漏洞情报，通过持续的漏洞风险评估为用户提供带有明确优先级的脆弱性告警、修复或缓解能力。

RBVM的基本流程如下图所示：

图例：RBVM基本流程

从图中可以看出RBVM的主要价值在于，避免那些最需要优先被关注的可能带来巨大风险的漏洞淹没在海量漏洞告警中，转而让安全团队能够优先考虑优先级更高的关键漏洞。

2.2　RBVM与传统漏洞管理的区别

3　RBVM能力框架

在传统漏洞管理能力中，机构用户基于漏洞扫描器提供的基础漏洞评估能力，依据合规性要求以及CVSS评分为参考，往往面临大量的 “高危”、“严重”漏洞，往往只能等HVV或重保等安全团队话语权较高的非常时期，才能集中修复一批。

RBVM在传统漏洞管理的基础上，进一步引入了资产攻击面、漏洞情报、威胁情报等多维度数据，以脆弱性优先级技术（Vulnerability Prioritize Technology – VPT）对漏洞进行打分与评级。RBVM能力框架如下页图所示：

图例：RBVM能力框架

如此一来，机构用户安全团队需要面对的“高危”、“严重”漏洞的范围与数量大大缩小，漏洞不再只是漏洞，而是与业务连续性、资产关键性等联系更加紧密的脆弱点。安全团队可以更加主动地协调运维、业务部门率先修复高优先级的脆弱点。

3.1　RBVM能力要点

3.1.1　关键资产攻击面

重点是与核心业务相关的资产攻击面。

如果安全团队无法确定哪些业务属于关键业务，可以直观采用“跟钱走”的原则，即

通过这两项活动，安全团队可以快速确定最重要的业务范围，进而根据关键业务，找到对应的主机、系统、账户、域名、应用、代码、API等关键资产。

之后，根据公司战略或核心领导的指导意见，圈定出3-5个最重要的核心业务，并从关键资产中找到这3-5个核心业务所对应的所有资产。

最后以攻击者的视角，调高这些资产攻击面的检测告警、应急响应优先级。

3.1.2　漏洞情报

重点是漏洞的可利用性。

危害性极大、但可利用性极低的漏洞，要大幅降低其优先级，避免白白浪费开发、运维等部门的资源，劳民伤财。

3.1.3　威胁情报

在关键资产与漏洞情报工作扎实的基础上，引入威胁情报后，潜在攻击者都有哪些攻击路径，在理论上这是可穷举的。因此，有条件的机构用户可以考虑将TTPs映射到真实环境中，对可能的攻击路径做出预测。

3.1.4　VPT判定优先级

这是RBVM各项能力要点的核心。

VPT以传统漏洞评估及上述三个能力要点的数据为基础，综合多种算法，得出脆弱性的打分与评级。

这个部分，VPT的准确性直接依赖于作为输入的风险数据的质量，例如：

基于扎实的风险数据，VPT针对不同的场景，通过不同的权重、规则或算法，得出相应的脆弱性优先级评分。

值得一提的是，在引入AI人工智能，特别是LLM大语言模型的助力后，VPT可以从有限场景的“小模型”，拓展到自定义权重模型。但由于LLM存在“不可见性”与“不可解释性”问题，因此风险数据的质量就更为重要。

3.1.5　安全风险评分

根据脆弱性打分与评级，可以进一步得出组织机构的安全风险评分。

在高优先级的脆弱性得到有效修复并复测无误后，评分可以加分，即在时间维度上看出机构的安全风险变化。根据资产权属、区域的不同，集团类用户还可以在下属不同的部门、分支机构等内部，从横向维度做评分比较。

在调研中，笔者了解到有一家“关基”用户，就已经在集团层面实现了这样的内部横向比较，目前已经进行了第一季度的内部大排名，排名靠后的分支机构已被责令重点整改，第二季度的风险评分工作也在持续进行中。由此，安全工作可量化，安全效果可度量，笔者认为这算得上安全行业的重大进展。

由此推演下去，其实同行业间也可以得出行业平均分，并进行同业参考，不过这需要行业监管、机构用户、安全企业等各方形成行业共识。也因此，在前面的能力框架图中，笔者将安全风险评分的框图部分标记为白色，意为暂未落地，有待实现。

3.2　围绕VPT的一些难点

在调研中笔者发现，RBVM各项能力中，围绕核心能力VPT，还有一些难点需要克服。

3.2.1　深度关联分析的结果要能形成“证据链”

对不同数据来源的海量数据关联分析，要基于上下文，结合行为模式、攻击路径等进行深层次的数据挖掘、交叉验证，形成“证据链”。

数据只有成为证据，才能在不影响业务连续性的前提下，在满足合规性要求的基础上，为威胁攻击映射、风险资产定位、脆弱性修复缓解等一系列措施提供准确的优先级依据。

3.2.2　对潜在攻击路径的预测

对于新出现的威胁，RBVM的核心能力是根据攻击者可能采用的TTPs，对机构用户真实环境中的潜在攻击路径做出预测，先于攻击者发现、识别、加固最可能被利用的脆弱点。

虽然理论上攻击路径可穷举，但实际实现时，要求RBVM能够对海量数据（业务基线、攻击面资产、网络流量、威胁情报、日志文件、漏扫结果等）进行实时分析，需要高度自动化和高性能的数据处理技术，以保证能够迅速捕捉到新的威胁和脆弱性。

3.2.3　精确且动态的风险量化

优先级判定、安全风险评分等量化能力，需要风险模型综合考量业务优先级、资产关键性、漏洞严重性、威胁的可利用性等多个维度。

一方面最终得出的风险评分要力求精确，能够准确反映出多个维度的潜在影响，另一方面，无论是多个维度自身，还是作为参考系的行业平均分也在不断发生变化，因此整个风险评分体系也应当是动态的。

动态的同时还要保持精准，这对RBVM产品能力与运营团队能力都有很高要求。

3.2.4　自动化编排与响应（SOAR）

RBVM引入SOAR的主要优势，一方面SOAR可以交叉比对多个来源的数据，弥补AI人工智能在海量数据关联分析 “不可见性”与“不可解释性”的天然缺点，加强“证据链”的可信度，另一方面SOAR在快速边界阻断、隔离失陷主机、推送漏洞补丁等响应环节，可以大量减少人工干预负担，提升MTTR时效。

对绝大多数机构用户来说，上述多个要点很难同时克服，需要在有限的安全预算和资源约束下，找到最优的风险缓解措施，实现成本与效益的最佳平衡，这也是技术突破的重要方向。

4　未来展望

数据能力将成为RBVM新的驱动力

业务基线数据、攻击面资产数据、威胁情报数据，甚至开发供应链等数据，都将成为RBVM准确评估风险、判断优先级、持续管理脆弱性的必要数据底座，无论是数据本身，还是大数据分析，都将在基于风险的脆弱性管理中扮演更加重要的角色。数据驱动这一特点将愈发明显，数据能力将成为RBVM新的驱动力。

自动化、智能化将大幅提升RBVM的效率

可以预见，安全行业在技术方面的融合式创新，将会首选自动化与人工智能技术。基于风险的脆弱性管理可能会向更加自动化和智能化的方向发展。例如，利用机器学习和自然语言处理等技术，实现自动化的风险评估、漏洞扫描和威胁检测，从而提高效率和准确性。

复杂性多样性导致的定制化将会继续存在

每个组织机构一线用户的业务流程、系统架构以及面临的潜在脆弱性风险都有所不同，需要根据其特定的需求和环境实施定制化的解决方案，对脆弱性持续管理的过程中还需要根据其团队资源、安全意识等因素提供有针对性的脆弱性修复建议和缓解措施。不仅如此，随着用户自身业务、系统、环境的不断迭代，定制化方案也要随之调整。因此，复杂性和多样性决定了机构用户个性化的定制解决方案将会继续存在。

跨部门、跨行业合作仍有待形成行业共识

基于风险的脆弱性管理往往需要多部门间的协作与信息共享，但由于部门间、行业间本就存在壁垒和信息孤岛，对脆弱性的持续管理还涉及到改变现有的工作方式、流程和习惯，因此要跨越不同的部门、甚至跨行业进行合作会面临一系列的挑战，甚至抵触与阻力。这一方面需要技术创新者持续投入大量的研发和时间，另一方面也需要政府、企业和第三方咨询机构等各方共同努力，基于最佳实践，加强各方交流，最终形成政府侧能政策引导、甲方能落地实践、乙方能落实到产品中的行业共识。

对国产化信息基础设施的覆盖

在调研中笔者注意到，随着国产化替代加速，运营商、能源等关基用户都建议加快推进对国产化操作系统、中间件、数据库等信息基础设施的风险及脆弱性管理能力的覆盖。这不仅要求安全企业在技术上持续投入，国产化信息基础设施供应商深度配合参与，更需要政策、产业、资本各方面的生态协同。相比跨部门、跨行业形成共识，这是一件更加难而正确的事。 

附录：RBVM行业用户案例

附1　某银行漏洞全生命周期管理建设方案
该案例由绿盟科技提供

案例背景

随着信息技术的飞速发展，银行业已深度融入数字化浪潮，业务运营、用户服务、风险防控等各个环节均离不开信息系统的支持。然而，信息技术的广泛应用也带来了严峻的安全挑战。由于银行业务涉及大量敏感数据，如用户身份信息、交易记录等，一旦遭受攻击或数据泄露，不仅威胁到银行的资产安全，更可能损害用户利益，对银行声誉产生严重影响。因此，建立一套完善的银行漏洞全生命周期管理方案，对于提升银行信息安全防护能力、保障银行业务稳健运行具有重要意义。

在此背景下，银行漏洞全生命周期管理方案旨在通过系统性的方法，对银行信息系统中存在的漏洞进行全面识别、评估、修复、验证和监控，确保漏洞得到及时有效的处理，降低潜在的安全风险。该方案不仅关注漏洞的修复，更强调漏洞管理的持续性和全面性，通过构建漏洞管理的长效机制，提升银行信息系统的整体安全水平。

解决方案

• 建立银行漏洞管理的长效机制

在本项目中，通过在银行的总行和各分行部署上百套绿盟科技三合一扫描器(RSAS)，实现对生产网和办公网资产范围的全面覆盖。同时全行配套部署40余套绿盟漏洞全生命周期管理平台，提供漏洞管理的全过程支撑。量化跟踪和分析流程执行情况，促进管理流程持续优化。帮助用户充分利用漏洞情报信息，推动流程的高效运转，建立快速的应急响应机制，确保在发现漏洞后能够迅速有效地完成处置修复工作，从而最大程度地保障银行信息系统的安全性。

 • 资产&漏洞情报快速匹配

通过对接XX银行CMDB系统，依赖流量被动识别技术，及时获取新增的各类资产信息。同时结合绿盟科技国内业界独有的的漏洞情报，实时推送更新漏洞热度、漏洞利用工具POC等关键情报信息。通过将这些情报信息与全行资产版本信息进行精准匹配，第一时间确认漏洞影响范围，从而大幅缩短漏洞的处置时间窗口。

• 智能评估分析，聚焦关键风险

对于行内存在的大量待修复漏洞，基于绿盟自研创新的漏洞修复优先级评估模型，计算并推荐出对当前资产有严重影响的高修复优先级漏洞，科学地将紧急修复的漏洞数量降低到2位数，大幅度的减少了工作量。

• 专注漏洞管理，实现漏洞全流程跟踪闭环

用户可通过工单管理系统，实时通知运维人员工作内容，全面记录漏洞处置过程，及时提醒工作进展，并最终汇总各项数据，使运维人员的工作流程更加清晰、高效。绿盟科技凭借多年丰富的漏洞运营经验，率先提出了漏洞的九种处置状态，可基于扫描器的扫描结果自动调整兴业银行资产的漏洞状态，使漏洞管理更为专注和精准。

用户价值

漏洞管理能力构筑：整体方案紧密贴合XX银行复杂场景管理的诉求，从专业视角出发，为XX银行量身定制漏洞运营流程。显著提升银行的应急漏洞处理效率，有效缩短处置时间窗口，减少人工重复运维工作，降低漏洞修复工作量。

降本增效：总体实现XX银行漏洞运维工作量降低80%，每年为用户节约超200万成本支出，使运维管理人员能够专注于业务侧的安全风险防控。

品牌影响力构建：凭借此项目的卓越表现，绿盟携手XX银行入选了“ZG20大杰出安全项目（CSO2O）” ，充分彰显了双方在安全领域的合作成果与专业能力。

案例点评

绿盟科技漏洞全生命周期管理解决方案，为用户建立银行漏洞管理的长效机制，进一步提升漏洞威胁情报快速响应、本地风险持续监控、多种资产全面识别梳理、漏洞全流程管理能力。通过这一方案，帮助用户实现风险高效响应的工作模式，确保快速应急处置与风险预警触发的及时性。并且在管理流程的各环节，提供优化分析后的技术建议，最大程度加快漏洞修复效率，在漏洞被利用前完成修复闭环。漏洞运维工作高效有序的开展，极大的降低了业务系统面临的高风险，对提高业务系统连续性，减少因安全事件导致的业务中断起到了关键作用。 

附2　某交易所基于风险视角的漏洞主动治理案例
该案例由魔方安全提供

案例背景

在信息技术日新月异的今天，数字化、网络化、智能化已成为行业的发展趋势，交易所作为证券期货市场的核心枢纽，其信息系统的稳健运行对于保障市场稳定、维护投资者权益具有至关重要意义。

随着行业系统的复杂性增加和漏洞数量的不断增长，传统的漏洞管理方式已经难以满足当前的安全运营需求，传统的漏洞管理方式往往只关注漏洞的数量和类型，而缺乏对漏洞影响范围和潜在风险的深入评估。这导致在处理漏洞时缺乏优先级排序，难以确保高风险漏洞得到及时有效的处理。

为了应对这一挑战，该交易所急需引入一种更为高效、精准的漏洞管理方法。基于风险的漏洞管理（Risk-Based Vulnerability Management, RBVM）作为一种新兴的安全管理方法，通过将风险评估与漏洞管理相结合，可以帮助交易所优先处理高风险漏洞，提升漏洞管理的效率和效果。

需求场景

在现有运营环境下，该交易所面临以下场景问题：

• 漏洞数据庞大且分散

由于内部IT系统庞大且网络结构复杂，扫描工具产生的大量漏洞数据分散在各个系统和部门中，难以进行集中管理和统一分析。这不仅增加了漏洞处理的难度，也增加了误报和漏报的风险。

• 修复建议不适配

扫描工具提供的修复建议往往缺乏针对性，无法直接应用于实际环境，此外，一些修复方案可能涉及到业务中断或系统停机，对交易所的正常运营造成严重影响。

• 漏洞处理级别缺乏业务风险评估视角

缺乏从业务风险评估视角出发进行二次分析机制，这导致在识别和分析漏洞时，无法全面考虑漏洞对业务运营的实际影响及潜在风险级别，从而在漏洞处理过程中无法依据风险优先级进行科学合理的排序。

• 缺乏统一记录和知识积累

漏洞修复信息缺乏统一、格式化的记录方式，导致修复经验难以积累和复用，每次漏洞修复都像是重新开始，缺乏系统性和连续性，降低了漏洞治理运营效率。

• 跨部门、跨网络区域的复杂管理

漏洞管理涉及多个网络区域、多个部门甚至子单位协作，需要协调多个团队合作。然而，由于管理流程复杂、沟通不畅和责任不明等问题，导致漏洞处理效率低下且容易出现延期。

案例目标

结合该交易所需求痛点场景，魔方安全与该交易所进行了充分调研和论证，聚焦解决以下问题：

• 统一漏洞检测任务管理

实现单一入口对接不同扫描工具，解决漏洞检测任务多入口的问题，简化管理流程。

• 集中管理漏洞数据

解决漏洞结果数据离散、存储不连续、缺少统一管理的问题，确保漏洞数据的一致性和完整性。

• 自动化漏洞与资产信息关联

通过系统自动化地将漏洞数据与资产信息关联，减少人工操作，提高效率和准确性。

• 提供可操作性强的漏洞修复方案

根据实际环境和业务需求，制定适用于具体场景的修复方案，确保漏洞修复的可行性和有效性。

• 系统化漏洞处置流程

实现漏洞处置流程系统化，确保工作闭环，状态可跟踪，效果可量化考核，提高整体管理效率。

• 建设漏洞知识库

将漏洞信息和修复经验沉淀为内部知识，实现未来可重复使用和持续应用的目标，提升组织的知识积累和共享能力。

解决方案介绍

针对以上问题，魔方安全为该交易所供以下解决方案，如下图示： 

该交易所借助魔方安全漏洞管理系统，显著提升了内部安全漏洞的管理效率，该系统能够兼容多种漏洞扫描工具，自动采集并标准化显示任务结果和漏洞数据，为安全人员提供了便捷的追踪和管理手段，系统内置知识库功能，允许安全人员以统一标准记录漏洞修复方案，确保了修复过程的一致性和可维护性，同时系统通过自动化接口与内部CMDB资产库进行对接，将漏洞数据与资产信息、责任人紧密关联，实现了对“漏洞—资产—责任人”的全方位管理，并支持统一展示，便于快速定位和解决问题。

为了加快漏洞修复流程，该系统通过API与OA工作流集成，使安全人员能够一键提交漏洞修复任务至OA系统，实现修复任务的跟踪和闭环管理，有效提升了响应速度和修复效率。

交付价值

通过建设完备的漏洞管理系统，该交易所的网络和信息安全管理工作取得了显著提升：

• 信息壁垒的打通

横向打通与漏洞相关的信息壁垒，与IT资产管理、组织和人力、流程系统、测试系统实现全过程对接，建立自动化的漏洞任务和信息流转机制，提升整体管理效率。

• 漏洞全生命周期管理

实现从漏洞发现、审核、修复方案制定、漏洞修复到扫描复核的高度自动化和全流程跟踪。确保每个漏洞都能得到及时、有效的处置。

• 漏洞知识库建设

形成漏洞处置经验知识库，确保内部修复经验的持续复用和低成本传递。新入职的安全人员也能快速上手，提高团队整体水平。

• 脆弱性管理体系建立

建立以资产维度和漏洞维度为核心的内部IT资产脆弱性管理体系，实现对关键资产和高风险漏洞的重点关注和管理，提升整体安全防护能力。

• 提高整体安全运营效能

通过系统化、自动化的漏洞管理，提高了某交易所的整体安全能力，减少了人为操作的错误和遗漏，提升了漏洞修复的效率和效果。

报告编委
主笔分析师　刘宸宇
首席分析师　李少鹏
分析团队：数世智库 数字安全能力研究院

点击链接获取《基于风险的脆弱性管理能力指南》PDF文档：

【数世咨询】数字安全能力指南 - 基于风险的脆弱性管理RBVM.pdf

— 【 THE END 】—