文章总结: 本文指出安全团队过度依赖资产与漏洞可视化管理,却忽视攻击者完整执行链路。核心观点是风险产生于资产、漏洞与对手攻击流程的交集,防御应从识别暴露面转向理解并阻断攻击执行链路。文章强调环境可防御性比可视能力更重要,AI无法替代攻击流程情报提供的上下文。建议安全团队以攻击者视角评估防护缺口,优先阻断攻击流程而非仅修复理论风险。 综合评分: 83 文章分类: 安全运营,红队,威胁情报
暴露面不等于防御:安全团队为何必须从风险识别转向攻击阻断
原创
Darkreading Darkreading
安全行者老霍
2026年7月9日 08:00 北京
在小说阅读器读本章
去阅读
发布时间:2026 年 6 月 22 日
#
安全团队如今拥有前所未有的环境可视能力,但攻击者仍屡屡得手。防御工作需要掌握对手的攻击执行链路,而非仅识别暴露面。
二十余年来,网络安全行业基本建立在一条简单逻辑之上:企业只要看得足够全面、识别出足够多的暴露点,就能实现充分防护。
资产清单越做越大,漏洞扫描器功能愈发精密,暴露面管理平台陆续问世,用于关联体量持续膨胀的各类安全数据。安全团队获得了前所未有的环境可视能力。
可即便拥有如此全面的可视能力,攻击者依旧能够成功发起攻击。
问题不在于信息不足,而在于缺少与对手攻击执行流程、程序情报相关的关联上下文。
绝大多数安全体系能够回答以下问题:我们名下有哪些资产?存在哪些漏洞?哪些系统属于核心关键资产?哪些告警的严重等级评分最高?
但很少有体系能回答一个更关键的问题:敌对势力能否在我方环境中完整执行一套攻击流程?
这一区分至关重要,因为攻击者不会依照资产清单、风险评分或可视化仪表盘开展行动,而是依托一套连续的操作指令执行攻击。
攻击者会执行情报侦察、窃取账号凭证、内网横向移动、规避安全防护、建立持久驻留权限,整套操作遵循连续的指令与动作序列,最终达成特定攻击目标。
每一次成功攻击,本质都是一套可落地执行的步骤链。遗憾的是,绝大多数防御体系评估风险时,仍将这些步骤割裂看待。
1. 以资产为核心的安全体系存在固有局限
资产管理工作依旧不可或缺,企业必须清晰掌握自身所有资产。漏洞管理工作同样必不可少,企业需要清楚环境内存在的各类安全缺陷。
真正的问题出在:企业将这两类工作作为评估风险的唯一核心视角。漏洞不会仅仅因为存在就产生实际风险;资产也不会仅仅因为业务重要就带来风险。
风险产生于资产、漏洞与对手攻击流程三者产生交集之时,关键在于判断哪些资产会被攻击者利用以走完完整攻击链路。一台孤立系统上的高危漏洞,实际风险可能微乎其微;而一个中等风险漏洞,若能支撑行业定向威胁组织常用的攻击流程,其实际威胁程度会高出许多。
但大量安全体系依旧按照漏洞严重等级、资产重要度排序、通用风险计算公式划分处置优先级,完全不结合真实攻击执行逻辑做判断。
最终结果显而易见:安全团队耗费大量精力削减理论层面的风险,却放任可被利用的真实攻击链路完好留存。
2. 为何攻击执行链路比暴露面识别更为关键
现代安全体系识别暴露面的能力已十分成熟,短板往往在于无法理解完整攻击执行逻辑。暴露面只能告知我们 “存在发生攻击的可能性”,而攻击执行链路能还原 “攻击会以何种方式落地”。
这一认知差异会从根本上改变防御侧的决策逻辑。安全团队不应只提问:“哪些漏洞严重等级最高?”,而应更多思考:“哪些漏洞能够支撑敌对势力针对我方发起攻击的标准操作流程?”
不应只提问:“哪些资产业务优先级最高?”,而应思考:“哪些资产是攻击者完成攻击目标必不可少的环节?”
不应只提问:“我们收到了多少条安全告警?”,而应思考:“我们能在哪些环节阻断攻击者的攻击流程?”
这类问题将安全工作从被动观测转向主动处置。
3. AI 无法从根本上改变防御底层逻辑
当下 AI 与智能体安全系统再次为网络安全行业带来乐观预期。近期各类产品发布宣称可实现自主安全运营、AI 驱动事件研判、自动化漏洞修复,以及能独立识别并利用漏洞的安全智能体。尽管这些能力切实优化了安全团队的工作模式,但并未从底层改写防御工作的核心逻辑。
AI 能够处理远超人工的数据量,识别特征模式、关联安全事件、挖掘漏洞,甚至自动执行处置动作。但上述所有能力,都无法从根源解释敌对势力完整的攻击执行逻辑,也无法判定哪些条件会大幅提升攻击成功率。
其中缺失的核心要素,便是攻击流程情报。
风险不会只因漏洞存在而产生,只有当漏洞可支撑对手的标准攻击流程时,风险才会落地;资产不会只因出现在资产清单中就具备高威胁价值,只有当资产服务于攻击者目标、支撑完整攻击流程时,才属于高危资产。同理,安全防护控制措施的价值不在于完成部署,而在于其能够阻断攻击者达成目标所依赖的攻击流程。
若无法理清这类关联关系,企业使用 AI 只能治标,无法治本。AI 固然可以加速数据研判与处置动作,但攻击流程情报能够提供关键上下文,帮助安全人员理清攻击落地路径、锁定攻击可成功的关键节点、定位防护收益最高的处置环节。
4. 全新防御安全运营模型
本次认知转型并非新增一套安全框架或管理方法论,而是改变防御安全工作成效的衡量标准。
过去,安全工作的成效以可视能力作为评判依据:跟踪管控的资产数量、识别出的漏洞数量、产生的安全告警总量。
今后,评判标准将逐步转向环境可防御性:企业能否阻断攻击者完整攻击流程?能否识别敌对势力核心攻击操作?能否在攻击者达成目标前中断攻击?防御人员能否定位核心防护缺口?
两类问题本质完全不同,对应产生的处置优先级也天差地别。
5. 行业未来核心:环境可防御性
安全团队面临的困境从来不是数据匮乏,而是缺少支撑决策的关联上下文。
网络安全行业的下一轮技术演进,不会依靠采集更多资产、漏洞、暴露面相关信息实现,而是依托理清各类要素如何交织、支撑真实攻击落地的完整逻辑。
可视化能力依旧重要,但仅有可视化能力无法构成有效防御。
能够以对手真实攻击执行链路为视角,打通威胁情报、漏洞、资产与安全防护措施关联的企业,将更合理地分配安全资源、加快研判决策速度、降低残余风险,最终在攻击得逞前完成阻断。
归根结底,攻击者能够得手,并非企业缺少环境可视能力,而是攻击者掌握了可利用企业内部环境、完整走完攻击流程的操作手段。
https://www.darkreading.com/vulnerabilities-threats/exposure-is-not-defense-why-security-teams-must-shift-from-finding-risk-to-disrupting-attacks
(完)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全行者老霍 Darkreading Darkreading《暴露面不等于防御:安全团队为何必须从风险识别转向攻击阻断》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论