但鑒于不同監(jiān)管機(jī)構(gòu)標(biāo)準(zhǔn)不同，既有效且合規(guī)的漏洞管理對不同組織機(jī)構(gòu)而言可能意味著不同的東西。但有一個(gè)例外：風(fēng)險(xiǎn)!所有標(biāo)準(zhǔn)都強(qiáng)調(diào)了風(fēng)險(xiǎn)!具體有：

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長期合作伙伴，公司提供的服務(wù)項(xiàng)目有：域名申請、網(wǎng)站空間、營銷軟件、網(wǎng)站建設(shè)、榮縣網(wǎng)站維護(hù)、網(wǎng)站推廣。

PCI DSS 要求 6.1 聲明：公司企業(yè)必須 “設(shè)立漏洞發(fā)現(xiàn)過程，并為新發(fā)現(xiàn)的安全漏洞賦予風(fēng)險(xiǎn)評分?！?GDPR 第 32 條要求：實(shí)現(xiàn) “恰當(dāng)?shù)募夹g(shù)性或組織性措施以確保適合風(fēng)險(xiǎn)情況的安全水平?！?HIPAA 安全規(guī)則強(qiáng)制要求：“評估電子健康信息的機(jī)密性、完整性和可用性所面臨的潛在風(fēng)險(xiǎn)與漏洞?！?GLBA 安全規(guī)定要求：公司企業(yè)須 “識別并評估客戶信息風(fēng)險(xiǎn)，評估當(dāng)前風(fēng)險(xiǎn)控制安全措施的有效性?！?

很多監(jiān)管標(biāo)準(zhǔn)都要求評估風(fēng)險(xiǎn)并以此做出恰當(dāng)響應(yīng)才能達(dá)成并維持合規(guī)，以上幾條不過摘錄一二而已。在漏洞管理語境下，如 PCI DSS 要求 6.1 所述，合規(guī)就意味著基于風(fēng)險(xiǎn)給漏洞排序并修復(fù)。
但由于漏洞對各家公司意義不同，要做到按風(fēng)險(xiǎn)管理漏洞并不容易。準(zhǔn)確評估首先要確定：
漏洞武器化的概率有多高;
如果武器化，對特定公司的影響是什么。
想要確定這幾個(gè)變量，以下建議可供參考：

可能影響關(guān)鍵資產(chǎn)的漏洞絕對要優(yōu)先修復(fù)。對大多數(shù)企業(yè)而言，關(guān)鍵資產(chǎn)包括但不局限于適用于一個(gè)或多個(gè)安全合規(guī)要求的那些。比如說，受 HIPAA 管轄的公司企業(yè)就要特別關(guān)注含有個(gè)人健康信息的資產(chǎn);PCI DSS 轄下公司應(yīng)重視支付卡數(shù)據(jù);GDPR 監(jiān)管下的公司企業(yè)還要將用戶數(shù)據(jù)也納入重點(diǎn)關(guān)注對象。
識別出關(guān)鍵資產(chǎn)后，還要確定并記錄下其存儲、處理、管理和可能被破壞的方式。與這些資產(chǎn)相關(guān)聯(lián)的技術(shù)有哪些?怎么連接的?哪些用戶可以出于哪種目的訪問這些資產(chǎn)?哪些人可能會想破壞/泄露這些資產(chǎn)?為什么?這些資產(chǎn)一旦被破壞/泄露，會造成什么后果?此類問題的答案有助于識別、分類和排序可能影響這些資產(chǎn)的潛在漏洞。

排序修復(fù)動作時(shí)最常犯的一個(gè)錯(cuò)誤，是將通用漏洞評分系統(tǒng) (CVSS) 的分?jǐn)?shù)等同于風(fēng)險(xiǎn)值。盡管 CVSS 評分能反映出漏洞本質(zhì)和漏洞武器化后的可能行為方式，但這些都是標(biāo)準(zhǔn)化的，并不能反映出上述兩個(gè)決定漏洞特定風(fēng)險(xiǎn)值的變量——武器化概率和針對公司的特定潛在影響。
事實(shí)上，2014 年針對 CVSS 評分的研究就發(fā)現(xiàn)，“僅根據(jù) CVSS 評分高低修復(fù)漏洞，無異于隨機(jī)揀取漏洞修復(fù)?！?該研究還發(fā)現(xiàn)，盡管漏洞的 CVSS 評分似乎與其武器化概率并無關(guān)聯(lián)，但有其他因素與之相關(guān)，包括：是否存在漏洞利用概念驗(yàn)證代碼，深網(wǎng)論壇、暗網(wǎng)市場等非法在線社區(qū)是否提到該漏洞利用代碼等。
鑒于絕大多數(shù)通用漏洞與暴露 (CVE) 從未武器化，該研究的結(jié)論具有一定實(shí)際意義。高 CVSS 評分的 CVE 只有在惡意黑客能武器化的時(shí)候才是真正的威脅。但要武器化漏洞，黑客首先得確定武器化方法，而這通常都需要概念驗(yàn)證 (POC) 代碼。使用或開發(fā) POC 代碼的過程往往包含大量試錯(cuò)。若不在深/暗網(wǎng)和其他非法在線社區(qū)中與別的黑客交流，多數(shù)黑客一般是搞不定的。
換句話說，無論 CVSS 評分是高是低，評估漏洞時(shí)都需要將是否存在 POC 代碼和相關(guān)黑客討論作為重要風(fēng)險(xiǎn)因素加以考量。

出于修復(fù)排序目的的風(fēng)險(xiǎn)評估過程優(yōu)化可以考慮采用評估框架。現(xiàn)成的風(fēng)險(xiǎn)評估框架有很多，其中一些還是特定監(jiān)管機(jī)構(gòu)強(qiáng)制要求或建議采用的，這些現(xiàn)成的框架都能幫助安全團(tuán)隊(duì)更有效地評估、排序和管理不同風(fēng)險(xiǎn)。
但無論采用哪種框架，都需要根據(jù)公司特定環(huán)境和風(fēng)險(xiǎn)因素加以實(shí)現(xiàn)。也就是說，你需要統(tǒng)計(jì)資產(chǎn)，評估資產(chǎn)被黑的潛在影響， 判斷漏洞武器化概率。無論有沒有應(yīng)用漏洞風(fēng)險(xiǎn)評估框架，缺了上述信息都無法準(zhǔn)確評估漏洞對公司的特定風(fēng)險(xiǎn)。
除此之外，還需謹(jǐn)記：雖然合規(guī)不應(yīng)是安全項(xiàng)目的最終目標(biāo)，但各個(gè)合規(guī)要求都強(qiáng)調(diào)風(fēng)險(xiǎn)必然是有原因的。有效管理漏洞，尤其是合理排序修復(fù)動作，只有基于風(fēng)險(xiǎn)才是可行的。