导语：漏洞管理是一个老生常谈的概念，也是信息安全领域最为人熟知的概念。漏洞管理的本质是，对于随企业业务发展而不断产生的各类漏洞采用一系列措施进行从发现到解决闭环管理，以避免因漏洞被利用并演变为安全事件。今天青藤云安全小编给大家介绍下漏洞管理遇到的那些新的问题。

漏洞管理的常见问题：

1、漏洞评估方式的改进

 漏洞的评估模型目前有三种：基于漏洞本身的评价；基于资产的评价；基于风险和威胁的评价。

一般客户能做到以漏洞为中心的第一点也不容易，基本都是对于所有漏洞无差别修复，这样工作量很大，且没有抓住重点。加入资产的重要性进了一步，根据实际资产的价值进行结合这样更有针对性。以威胁为中心的评价方式是近几年提出的，并不是取代上面两者，而是这个基础上综合考虑加入威胁的因素。

2、资产类型的扩展

信息化领域目前的两大趋势变化：传统数据中心上云；IT和OT的结合。两种趋势导致被评估的资产类型发生了很大的变化且导致问题关注点的转移。

在上云的趋势下，传统的部署模式会有很大的挑战，尤其是容器技术的大规模使用，之前漏洞扫描的方式基本失效。云计算在使用上方的便性有很大的提升空间，但是通过本地部署的方式去进行漏洞并不是最合适的解决方案，基于云的扫描器可能更适用于这种情况。基于云计算的漏洞扫描方式可以跟云管平台联动，更好的管理云上资产，且毫不遗漏地进行所有云上资产的漏洞管理。

关于 IT 和 OT 的结合，这个场景会更多，漏洞作为安全领域的皇冠，OT 安全首当其冲的就是考虑这个问题。OT 包含的五大场景：智慧城市、智慧家庭、智慧医疗、智慧交通和智慧工业。OT 领域的漏洞管理还是比较初级的市场，需要更多的市场培育和关注。 

3、新的产品类型

这里不提及 Web 漏洞扫描和配置安全扫描的产品类型，重点提到威胁漏洞管理（TVM）和泄漏攻击模拟（BAS）两种产品。TVM 是指威胁和漏洞管理，这种产品本身可以不用做相关的漏洞扫描，这是将漏洞和威胁信息结合归并，可以理解为漏洞领域的 SoC。BAS 是以攻击者视角来看待漏洞，会自动化模拟攻击行为来利用漏洞，更真实也更具实际意义。BAS 会将漏洞识别和漏洞利用合二为一，让客户感觉更真实有效。

总结：

由于漏洞自身性质决定了漏洞管理永远不会有完结的一天，认识漏洞管理常见的问题在一定程度上帮助组织机构更好防御风险。