文章总结： 文章指出传统漏洞管理因依赖人工签名与老旧架构已难持续，Cisco收购Kenna失败凸显缺扫描引擎与长尾内容即失去竞争力；AI正把签名库商品化并催生非人类代码，巨头若不自建AI原生平台或被云超规模厂商收购，市场将转向持续暴露面管理。 综合评分： 88 文章分类： 漏洞分析,威胁情报,AI安全,安全运营,安全工具

漏洞管理已死，暴露面管理才是王道！

原创

MEHUL MEHUL

安全喵喵站

2026年1月23日 08:31 中国香港

McAfee Vulnerability Manager、BeyondTrust Enterprise Vulnerability Manager，如今连 Cisco Vulnerability Management 都宣布放弃。又一位倒下。

漏洞管理（VM）的历史，是厂商们试图进入这个领域却最终折戟的坟场——表面看起来容易，实际上却是最难啃的一块“硬骨头”。

即便经过 25 年，“三巨头” Tenable、Qualys 和 Rapid7 依旧稳坐江湖。相比之下，无论是 EDR、身份管理还是其他类别，都有五家甚至更多的硬核厂商争夺市场。在漏洞管理领域，虽然很多厂商声称参与竞争（比如 MSFT、CRWD），大多数仍只是配角或打勾工具——缺乏真正的深度与广度。

在本文中，我将探讨为什么这个类别看似容易却极难被颠覆，巨头的薄弱环节在哪里，以及为何要实现规模化增长，现在必须与行业最大的厂商或最新的玩家保持一致。

为什么漏洞管理是最“看似容易却最难啃”的类别

漏洞管理（VM）理论上看起来 deceptively 简单，但在实际执行中异常残酷。这个领域不是可以通过“最小可行产品（MVP）”轻松走向顶端的类别。

虽然创业公司和企业在边缘领域取得了一些成功，例如专注于漏洞优先级（Kenna Security 做得不错）或补救编排（ServiceNow VR 做得不错），但最终都会撞上天花板。要在这个领域称霸，你必须掌握另外两方面：漏洞签名（内容）以及用于检测漏洞的传感器或扫描器。没有这些，你永远只能依赖别人的遥测数据。

Kenna–Cisco 的警示故事

Cisco 在收购 Kenna 时犯的致命错误，是典型的“表面数字优先，实质不足”的案例。我猜测他们通过商学院视角看收入和客户数量，认为产品是完整的 VM 解决方案。然而很快他们意识到，Kenna 缺乏自主的扫描引擎和签名库。手里拿到的，只是一个 VM 的包装方案，而不是完整的 VM 解决方案。

为了让平台在规模上真正可用，Cisco 很可能面临两难选择：

• 要么与“三巨头”传统厂商合作，获取它们的传感器——本质上是在付钱给竞争对手；

• 要么从零开始建立二十五年的漏洞内容和传感器。

随着原 Kenna 团队离开，该产品最终成了一个“空壳”，缺乏在复杂企业环境中竞争所需的深度技术能力。剩下的最佳选择，只能是止损撤退。

为什么内容和传感器对漏洞管理至关重要？

在大多数类别中，“现代化”是优势，但在漏洞管理（VM）领域，“古老”反而是一种超能力。漏洞签名内容经过 25 年累积，难以复制。

为什么在今天仍重要？因为它不仅仅是数据库，更是机构记忆。

深入观察任何大型企业、大学或政府机构，“老系统”总会存在。

Windows 2000、Server 2008 以及古老 Unix 架构往往承担着最关键、最不可替代的基础设施。这些组织无法退役这些资产，只能为终止支持的软件购买定制、高价的扩展安全更新（ESU）。由于这些厂商存在时间久，它们自然支持所有“老古董”系统及其衍生版本。

遗留问题不仅限于老硬件或老软件。在容器与 DevSecOps 的世界里，老旧漏洞库经常被“打包进”现代镜像。一个全新的 Kubernetes pod 可能运行着十年前就存在漏洞的库。没有深厚、历史悠久的内容库，现代扫描器很容易漏掉这些明面上的“僵尸”漏洞。

你的 VM 工具必须拥有审计遗留系统、现代系统及介于两者之间所有资产所需的“长尾签名”。否则，它可能提供虚假的安全感。

我并不是说这是 VM 工具唯一的核心价值，但在处理大企业账户时，这些小细节至关重要。

还有传感器。

检测漏洞的方法在容器镜像和传统本地系统上完全不同。要做好这一点，厂商必须为每种形态配备专用传感器：

• 持续监控工作站的代理
• 针对“无法安装代理”的老旧硬件的网络扫描器
• 云端短暂工作负载的侧扫或 API 传感器

如果你没有针对特定环境的传感器，就可能错过整类风险。

真正的 VM 解决方案必须能够跨所有可能的攻击面准确评估风险。而要做到这一点，确实非常困难。

漏洞管理中的“拆除重建”异常艰难

如果这还不够难，当已有厂商占据市场时，要赢得新客户也绝非易事。

在企业安全领域，很少有事情比替换现有漏洞管理（VM）厂商更痛苦。即便你的产品是市场上“最强”的，也不仅仅是在与竞争对手较量，更是在对抗组织惯性——这才是最难的部分。

除非工具在危机中彻底失效（如 Log4Shell）或产生极高的误报，导致有人工作受影响，否则企业通常不会更换。原因如下：

肌肉记忆。 企业 VM 不仅仅是一个工具，而是一整套成熟流程。多年间，组织围绕漏洞报告、分级和交付 IT 修补建立了固定的工作流程。引入新厂商意味着可能打乱所有操作“肌肉记忆”。

数据差异。 “拆除重建”最大的障碍是报告差异。如果你在第一季度从厂商 A 切换到第二季度的厂商 B，数据会发生变化。在企业环境中，数字变化需要解释：

• 漏洞数量增加：管理层会问，“我们之前一直不安全吗？为什么前一个工具漏掉了这些？”
• 漏洞数量下降：修补团队会问，“过去三年我们是否一直在追逐误报？浪费了多少工时？”

无论如何，你都是输家。最好的办法是保持低调，忍受痛苦，等待危机，然后在时机成熟时出手。

惯性是最强大的“ incumbents”。在 VM 领域，最好的产品不一定能赢。已经集成进现有系统、需要变动最少的产品，通常才是赢家。

漏洞管理厂商自身的漏洞

这是个刻意的双关：虽然漏洞管理（VM）领域历来难以被颠覆，但现有厂商也远非高枕无忧。那种曾经是“超能力”的古老优势，如今也开始成为负担。以下是当前威胁 VM 巨头的核心挑战。

AI 带来的签名民主化

几十年来，VM 厂商的竞争优势在于庞大且人工维护的签名库。AI 正在改变这一格局。当漏洞签名创建与实时利用可以被自动化处理时，那“25 年的领先优势”开始失去光环。如果 AI 可以在几秒钟内分析补丁并生成检测脚本，那么曾经的专有签名库将变得像商品一样通用。

AI 生成代码的爆炸性增长

我们正进入“编程代理”时代，数十亿行代码的生成速度已超越人类能力。传统 VM 工具是为追踪人类编写的软件而设计的。当非人类生成的软件数量呈指数级增长时，传统厂商如何维持对漏洞“长尾”的覆盖？ 非人类编写代码中的漏洞追踪规模，将彻底打破传统手工研究模式。

传统架构 vs AI 原生架构

传统 VM 工具是确定性的，而未来可能需要 AI 驱动的概率启发式方法。它们可能需要从“通用模型”转向“个性化模型”，为客户提供定制化结果。

阿喀琉斯之踵：从僵硬、确定性的引擎过渡到灵活的 AI原生平台，并非一次简单更新，而是彻底重建。

结果胜于产出：传统产品日益臃肿、复杂。新一代用户会本能地选择更易用、能够提供实际结果（风险降低）的工具，而不仅仅是输出（例如 500 页漏洞 PDF 报告）。

附加功能堆砌 vs 核心解决方案

或许最大的漏洞在于，许多 VM 厂商已经停止倾听客户需求。年度合同续签从战略合作，变成了“还能卖你什么？”的推销会。

典型对话示例：

• 客户：“我的团队被手动工作淹没，你能解决这个特定的工作流问题吗？”
• 厂商：“我会记录这个功能需求。不过顺便问下，你看过我们最新的每年 1 万美元的威胁情报附加模块？或者我们的 AI 外壳模块吗？”

当厂商把“下一个新奇功能”（SOAR、专用 AI 模块等）放在修复核心用户体验之前，就会激起客户强烈挫败感。在一个惯性是客户离开的唯一阻力的市场，这种挫败感就是一个定时炸弹。

战略出路：被收购或彻底重建

对于“三巨头”和其他传统 VM 厂商来说，机会窗口正在缩小。随着 AI 将他们的历史优势商品化，未来只有两条可持续路径：要么融入庞大的数据生态系统，要么进行彻底的 AI 原生转型。

超大规模出路：玩更大的棋局

对于传统厂商而言，最合理的“出路”是被超大规模厂商（AWS、Azure、Google Cloud）或数据智能巨头（如 Databricks）收购。

2025 年末，Databricks 正式推出了面向网络安全的数据智能平台。这些数据巨头并不想从零开始建立 25 年的“老古董”签名库，但它们拥有 AI 基础设施，能够以独立厂商无法匹敌的规模处理遥测数据。

通过与超大规模厂商合作，VM 厂商可以将自身的“机构记忆”转化为更大自动化安全体系中的一项功能。今年 Google 收购了 Wiz，以加强其网络安全解决方案。可见市场兴趣确实存在。

防御性转型：收购以求生存

如果选择保持独立，现有厂商必须积极收购或与 AI 原生初创公司合作，以增强防御能力。ServiceNow 最近以 77.5 亿美元收购了 Armis。

在我看来，他们本可以直接收购“三巨头”之一，成本大约 80 亿美元，任何一个都乐意出售。

将传统产品转型为 AI 原生的核心产品，不只是品牌更新或发布新闻稿那么简单；它需要资金投入、耐心，以及深厚的 AI 原生技术团队和架构支撑。

最后

窗口正在关闭。随着 AI 原生的攻击工具以“机器速度”开始利用漏洞，仍依赖人工编写签名的传统扫描器将成为负担。

市场正在从“漏洞管理”转向“持续暴露管理”。

问题不在于这个类别是否会改变，而是谁将有勇气第一个迈入这个新时代。

原文链接：

https://mehulrevankar.substack.com/p/cisco-end-of-lifes-kenna-security

关注「安全喵喵站」，后台回复关键词【报告】，即可获取网安行业研究报告精彩内容合集：

《网安供应链厂商成分分析及国产化替代指南》，《网安新兴赛道厂商速查指南》，《2023中国威胁情报订阅市场分析报告》，《网安初创天使投资态势报告》，《全球网络安全创业加速器调研报告》，《网安创业生态图》，《網安新興賽道廠商速查指南·港澳版》，**《台湾资安市场地图》，《全球网络安全全景图》，《全球独角兽俱乐部行业全景图》，《全球网络安全创业生态图》

话题讨论，内容投稿，报告沟通，商务合作等，请联系喵喵 [email protected]。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全喵喵站 MEHUL MEHUL《漏洞管理已死，暴露面管理才是王道！》