1、 数字安全能力指南 Risk-Based Vulnerability Management 北京数字世界咨询有限公司 2024.06 2 数字安全能力指南 Risk-Based Vulnerability Management 北京数字世界咨询有限公司 2024.06 数字安全能力指南-基于风险的脆弱性管理 3 “数字安全三元论”由“网络安全三元论”(数世咨询于 2020 年提出)更新迭代而来 旨在匹配数字中国建设的进程，保障数字基础设施稳定、可持续运行 保障数据有效流动、激发数据要素价值 数字世界数字世界 以网络连接为基础，以数据流动释放价值，以人工智能塑造未来。数字安全数字安全 以网络安全

2、为基本手段，以数据安全为核心目的，支撑数字经济的健康发展和国家社会的和谐稳定。数字世界，安全共生！数字世界，安全共生！数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构、网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务 报告编委报告编委 主笔分析师 刘宸宇刘宸宇 首席分析师 李少鹏李少鹏 分析团队：数世智库数世智库 数字安全能力研究院 版权声明版权声明 本报告版权属于北京数字世界咨询有限公司（以下简称数世咨询）。任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依

3、法追究其相关责任的权利。以安全能力、数字资产和数字活动为三元素 以数据安全为核心目标 即三元一核的 4 目 录 前言.5 关键发现.7 1.市场概况.8 1.1 市场规模.8 1.2 能力企业.8 1.3 能力交付模式.10 1.4 各行业需求占比.10 2.概念描述.13 2.1 基于风险的脆弱性管理 RBVM.13 2.2 RBVM 与传统漏洞管理的区别.14 3.RBVM 能力框架.15 3.1 RBVM 能力要点.16 3.1.1 关键资产攻击面.16 3.1.2 漏洞情报.17 3.1.3 威胁情报.17 3.1.4 VPT 判定优先级.17 3.1.5 安全风险评分.18 3.2

4、围绕 VPT 的一些难点.19 3.2.1 深度关联分析的结果要能形成“证据链”.19 3.2.2 对潜在攻击路径的预测.19 3.2.3 精确且动态的风险量化.20 3.2.4 自动化编排与响应（SOAR）.20 4.未来展望.21 附录：RBVM 行业用户案例.23 附 1.某银行漏洞全生命周期管理建设方案.23 附 2.某交易所基于风险视角的漏洞主动治理案例.27 数字安全能力指南-基于风险的脆弱性管理 5 前言 从计算机时代、互联网时代，到如今的数字时代，国内安全产业一直在学习与创新中向前发展。一方面伴生于 IT 基础设施的演进，先后出现终端安全、移动安全、云安全、物联网安全等新的安全

5、赛道，另一方面跟随于美国、以色列等西方安全创业公司的安全理念、技术概念，我们也在不断推出着新产品、新服务。学习与创新，是国内安全产业多年来最重要的主题。然而，数世咨询认为，与“新”相对的，在甲方用户的实际安全工作中，却也面临着一些多年“痼疾”难以解决。安全需要补课，Vulnerability 即是其中最典型的问题。具体来说，Vulnerability 有三个方面需要补课：1.如何准确将外部威胁与自身存在的脆弱性进行关联对应？2.如何在众多脆弱性当中确定优先需要关注修复的漏洞？3.在漏洞修复前、修复后，如何对风险的变化进行评估和度量？这里笔者没有完全以“漏洞”来做为 Vulnerability

6、的翻译，而以其本意“脆弱性”来称呼，是因为当传统的漏洞扫描器产品发展为更全面的攻击面管理解决方案时，“脆弱性”的说法相比而言更加全面；同时，“脆弱性”的说法也更贴近用户对安全的期待，即基于风险视角，对资产、身份、漏洞等基础工作进行补课，构建持续的脆弱性风险管理能力安全应当真正有效、有价值。鉴于此，数世咨询基于田野调查，广泛征集国内安全企业的相 6 关产品、服务、解决方案后撰写本报告，希望厘清“基于风险的脆弱性管理”这一概念，并帮助一线用户了解国内安全企业相关能力的现状。勘误或进一步沟通，请联系本报告主笔分析师刘宸宇： 数字安全能力指南-基于风险的脆弱性管理 7 关键发现 RBVM 基于用户的业