公司企業管理漏洞的方式各種各樣，從培訓和實現最佳實踐，到過濾出最危險的威脅。方法太多，亂花漸欲迷人眼，于是，不妨重點關注一下當今更為創新性的一些解決方案。

漏洞管理就是領先漏洞一步，讓修復更頻繁更有效的一個過程。待修復漏洞必須按照對網絡的威脅級別進行優先級排序。領域內各安全公司的漏洞管理方法不一而足，從培訓和實現最佳實踐，到過濾所有漏洞噪音只盯最危險威脅。

網絡安全領域，漏洞是重點，因為若沒有漏洞，也就幾乎沒有數據泄露了。但是，漏洞本身并非活躍威脅，公司企業難以分辨需解決什么漏洞，又該按何種順序處理。當漏洞數量攀升至驚人水平時，該問題就特別突出了，尤其是在大型網絡中甚至會出現百萬個漏洞的時候。

不妨將漏洞看作盔甲上的破洞。這些破洞可能不會立即造成問題，但最終都會引發麻煩。理想狀態下，在有人利用這些破洞之前，比如說瞄準破洞一箭射出之前，將破洞修補好，是個不錯的主意。網絡安全領域中的問題在于，漏洞數量實在太多了。

幾乎任何東西都會成為漏洞，成為網絡安全的責任。沒打補丁的操作系統、運行過時軟件的程序和應用等等，就是常見的漏洞；接入現代網絡的隔離應用也是。攻擊者處于更有利的一方，他們可能找到不為所知的漏洞并大肆利用。甚至用戶有時候也可被視為漏洞，尤其當今很多針對性攻擊，比如網絡釣魚，就是專門用來欺騙用戶，降低攻擊者需跨過的防御門檻的。

漏洞管理軟件

在漏洞管理這一關鍵領域，有4款創新性工具值得推薦。

1. Kenna Security

Kenna Security的漏洞管理平臺，旨在排序漏洞，濾出可能傷害受保護網絡的最危險漏洞。簡言之，該平臺監視大多數主流威脅饋送源，將該數據與受保護網絡中的資產進行比對。

Kenna平臺以軟件即服務(SaaS)形式部署，用戶支付訂閱年費，即可登錄收集他們特定漏洞數據的安全網站。Kenna收集的數據，被用于改善整個平臺的安全，所以越多公司采用，該平臺對付的威脅就越多。目前，Kenna在全世界跟蹤的漏洞數量超過20億個，且這一數字還在不斷增長。

2. Crossbow

有時候，進攻就是最好的防御。這就是安全公司SCYTHE創建Crossbow漏洞評估平臺背后的哲學。Crossbow是虛擬威脅沙箱，本地安裝或采用SaaS部署都可以，管理員可采用Crossbow來加載真實歷史攻擊，比如WannaCry、Goldeneye或Haxdoor，也可以從無到有創建全新威脅。一旦被加載或創建，這些攻擊便可攻向受保護的網絡，檢測是否存在漏洞。

Crossbow或許是CSO們審查過的最危險防御程序之一了。該平臺所能加載或創建的所有攻擊都是真的，運用的是曾經突破過很多公司企業網絡安全防御的真實技戰術。僅僅是攻擊載荷被去掉了，且就這一部分，也是可選的。這就讓Crossbow成為了評估、測試和管理漏洞的最現實工具之一。相較之下，Crossbow更像是軍隊實彈演習，而不僅僅是一場模擬，因為Crossbow帶來的虛擬威脅，是真實的。

3. Risk Fabric

很多漏洞管理程序都將IT團隊導向不重要資產上的關鍵威脅，或者將可能令公司運營崩潰的威脅放到優先級末端。這不是程序的錯，程序只是不知道上下文而已。Bay Dynamics公司的Risk Fabric程序，就是要解決漏洞管理領域中的這一主要問題。

將Risk Fabric稱為下一代漏洞管理工具其實并不準確。通過向原始掃描結果中添加額外的真實上下文，IT團隊可以對網絡中隱藏的真正風險有更深入的了解，包括一旦問題沒被及時修復便會產生的潛在代價。

4. CAWS持續安全驗證平臺

NSS Labs 的CAWS持續安全驗證平臺，其實是專用于查找并修復網絡威脅的測試實驗室。使用該程序的客戶有兩種選擇——公共版和付費版，兩個版本在規劃防御和管理漏洞上都有很大幫助。

對網絡較小的中小企業而言，CAWS公共版可警示IT團隊有可能攻破他們防御的真正威脅，是個極具價值的工具。但對財富500強企業、金融機構、政府組織和有大型或高價值網絡的機構而言，可能就會想要更貴的私有服務，比如，提供對需保護真實網絡的完美鏡像。

CAWS可以對該鏡像網絡執行破壞性攻擊而無需去掉任何破壞功能，因為它們只會摧毀測試網絡。用代罪羔羊來承受攻擊后果并揭示漏洞，對真實網絡毫無風險。這對有高安全需求的網絡而言，可謂是價值無限的工具。