Gartner 在 2025 年首度定義「曝險評估平台(EAP)」品類,XM Cyber 入選魔力象限。本文用 10 分鐘讓你搞懂 EAP、CTEM 是什麼,以及台灣企業為什麼現在需要認真看待它。
您的資安團隊正在做一件徒勞的事
每年新增的 CVE 漏洞超過兩萬筆,台灣企業的資安團隊面對的不是「漏洞太少」的問題,而是根本不知道哪個才是真正的威脅。
CVSS 評分 9.8 的漏洞排在清單最前面,看起來非常緊急。但那個漏洞可能被防火牆完全攔截,或者根本無法連到任何關鍵系統。工程師花了兩週修復它,結果真正的攻擊路徑早就從旁邊一個評分 5.5 的設定問題悄悄進來了。
我們正在對抗假想的威脅,而不是真實的攻擊路徑。 這是傳統漏洞管理最根本的問題,也是「曝險評估平台(EAP)」與 CTEM 框架出現的原因。
什麼是曝險評估平台(EAP)?
2025 年 11 月,Gartner 首度發布《曝險評估平台魔力象限》(Magic Quadrant for Exposure Assessment Platforms),正式為這個資安新品類建立定義。
EAP 與傳統漏洞管理工具最大的差異,在於它回答的問題不同:
傳統漏洞管理工具 | 曝險評估平台(EAP) |
這個漏洞的 CVSS 分數是多少? | 攻擊者真的能利用這個漏洞嗎? |
我有多少個高危漏洞? | 哪些曝險連到我的關鍵資產? |
修什麼? | 修哪一個影響最大? |
掃描範圍:CVE 漏洞 | 涵蓋範圍:漏洞、錯誤配置、憑證、身份、AI 風險 |
簡單來說,EAP 讓你從「修復最多漏洞」的無效競賽,轉向「修復最重要的幾個」的精準策略。
什麼是 CTEM?為什麼它改變了資安的運作方式?
CTEM(持續威脅曝露管理,Continuous Threat Exposure Management) 是 Gartner 提出的資安管理框架,解決的是一個根本問題:傳統資安評估是「點狀的」——每年一次滲透測試、每季一次漏洞掃描,但在兩次評估之間,你的環境在變、攻擊者在變,你的安全狀態其實是個黑箱。
CTEM 要求的是持續、動態、以業務風險為導向的曝險管理循環,共分五個階段:
① 範疇界定(Scoping) — 確認哪些資產與攻擊向量需要納入管理範圍,以關鍵業務資產為優先。
② 發現(Discovery) — 持續自動化發現環境中的各類曝險,不只是 CVE,還包括設定問題、身份風險、AI 系統曝險等。
③ 優先排序(Prioritization) — 不依賴 CVSS 分數,而是根據曝險對關鍵業務資產的真實影響進行排序。
④ 驗證(Validation) — 確認曝險在你的環境中是否真的可被利用,以及修復後是否真的有效。
⑤ 動員(Mobilization) — 將洞察轉化為跨團隊的實際修復行動,並向管理層報告進度與成效。
Gartner 的研究指出:
「到 2028 年,已在業務部門間實施持續威脅曝露管理(CTEM)並特別注重動員機制的組織,將看到成功網路攻擊事件減少至少 50%。」
— Gartner,《Use Continuous Threat Exposure Management to Reduce Cyberattacks》,2025 年 7 月
XM Cyber 是什麼?
XM Cyber 是一家專注於混合雲曝險管理的資安平台廠商,成立於 2016 年,2021 年被德國零售業巨頭 Schwarz Group 收購,目前在北美、歐洲、亞太與以色列設有辦公室。
它的核心技術是攻擊圖分析™(Attack Graph Analysis™):在你的實際環境中,持續模擬攻擊者如何將多個曝險串連起來,形成通往關鍵資產的攻擊路徑,再從中找出「關鍵節點(Choke Point)」——那些修復一個就能同時斷開多條攻擊路徑的關鍵位置。
研究顯示,在所有被發現的曝險中,平均只有 2% 是真正需要優先修復的關鍵節點。XM Cyber 的工作,就是精準找到那 2%。
分析師認可:
- 2025 年 Gartner 曝險評估平台魔力象限:挑戰者(Challenger)
- 2026 年 Frost & Sullivan 自動化安全驗證雷達:連續第二年領導者(Leader)
為什麼台灣企業現在需要認真看待 CTEM?
AI 壓縮了攻擊者的行動時間
2026 年的威脅環境已根本改變。AI 讓攻擊者的每個階段大幅加速:偵察從「天」縮到「秒」、釣魚郵件從「小時製作」變成「即時大規模個人化」、漏洞利用從「天/週」壓縮到「分鐘」。當攻擊者有 AI 加持,傳統的「掃描→評分→排隊修復」流程已跟不上攻擊節奏。
混合雲讓攻擊面更難掌控
多數台灣中大型企業同時運行本地端資料中心、公有雲服務與遠端工作環境。傳統工具往往在這些環境之間出現盲點——本地端的一個 Active Directory 設定問題,可能就是雲端關鍵資產被攻陷的起點。XM Cyber 在單一攻擊圖中統一呈現跨環境的完整攻擊路徑。
合規壓力持續升級
隨著台灣金管會資安規範強化、關鍵基礎設施韌性要求提升,以及供應鏈客戶對 ISO 27001、SOC 2 等認證的需求,合規已不只是文件作業。XM Cyber 平台對應 NIST CSF、PCI DSS、SOC 2、ISO 27001、GDPR 等主流框架,讓資安投資同時服務風險管理與合規需求。
CISO 最常問的問題
Q:XM Cyber 會取代我現有的漏洞掃描器嗎?
不需要替換。XM Cyber 可以接收 Tenable、Qualys、Rapid7 等現有掃描器的資料,加入攻擊路徑上下文後重新排序優先級。您的掃描器繼續找漏洞,XM Cyber 告訴您哪些真的需要修,是可以相輔相成的。
Q:這對 CISO 向董事會報告有什麼幫助?
XM Cyber 提供量化的安全態勢分數與趨勢,讓 CISO 能夠用業務語言回答「我們現在有多安全」,而不是用漏洞數量這個對董事會毫無意義的指標。
Q:導入複雜嗎?
平台透過 API 與現有 SIEM、SOAR、ITSM 工具整合,修復流程可直接嵌入現有工作流程,不需要重建整個資安架構。
總結
EAP 和 CTEM 不是另一個資安流行詞,它們代表的是一個務實的轉變:從對抗所有漏洞的無效消耗戰,到精準打擊真實攻擊路徑的主動防禦。
XM Cyber 入選 2025 年 Gartner 魔力象限,代表這個方法論已獲得分析師的正式認可,也意味著台灣企業在評估資安採購時,有了更清晰的框架可以參考。
Gartner 免責聲明:GARTNER 為 Gartner 之註冊商標,Magic Quadrant 為 Gartner, Inc. 及/或其關聯企業在美國及國際上的註冊商標。Gartner 並不為其研究報告中所描述之任何廠商、產品或服務背書。引用來源:Magic Quadrant for Exposure Assessment Platforms,Mitchell Schneider、Dhivya Poole、Jonathan Nunez,2025 年 11 月 10 日。
想進一步了解 BAS、ASV 與 EAP 的技術差異?
閱讀下一篇:BAS、ASV、EAP 有什麼不同?技術顧問選型完整指南 →
