傳統資安思維的終結:為什麼「修補所有漏洞」行不通?
企業資安團隊長期面對一個困境:漏洞掃描報告越來越長,但資源和人力卻從未足夠。傳統每半年或一年進行一次的弱點掃描與滲透測試,已難以因應現今攻擊速度。
資安產業多年來被「數量思維」驅動——更多警報、更多掃描器、更多「高危」漏洞需要修補。但在 2025 年,這套做法的操作低效已被充分驗證。真正的問題不是漏洞的數量,而是哪些漏洞真正會被攻擊者利用。
什麼是 CTEM?Gartner 提出的新資安治理框架
CTEM (持續威脅曝險管理)是 Gartner 於 2022 年提出的五階段框架,協助企業持續識別、排序、驗證並修復整個攻擊面的曝險。五個階段分別為:
- 範疇界定(Scoping)
- 發現(Discovery)
- 優先排序(Prioritization)
- 驗證(Validation)
- 行動化(Mobilization)
2025 年 Gartner 在 Hype Cycle 資安運營中,將對抗性曝險驗證(AEV)明確列入創新觸發期,預計 2027 年將有 40% 企業採用正式的曝險驗證計畫。對台灣企業 CISO 而言,現在布局 CTEM 正是時機。
2025–2026 年:銀行與政府的主要採購平台
排名 | 平台 | 主要採購對象 | 核心價值 |
1 | 第一級銀行、政府機構 | CTEM 持續曝險管理 | |
2 | Pentera | 銀行、電信、國防 | 自動化滲透測試驗證 |
3 | Horizon3.ai | 美國政府、中大型企業 | 自主化滲透測試 |
4 | AttackIQ | 國防、關鍵基礎設施 | MITRE ATT&CK 驗證 |
5 | Cymulate | 企業、MSSP | 資安控制驗證 |
XM Cyber:為什麼金融機構與政府優先選擇?
XM Cyber 的平台從一開始就是為曝險管理而打造,而非將既有的漏洞管理工具改造升級,能完整支援 Gartner CTEM 框架的全部五個階段。2025 年,XM Cyber 在 Gartner® Magic Quadrant™ for Exposure Assessment Platforms 中被列為 Challenger,這也是 Gartner 首次針對此類別發布魔力象限報告。
銀行與政府機構特別重視 XM Cyber 的三項核心能力:
- 身份曝險偵測
根據 XM Cyber 的研究數據,Active Directory 通常占企業所有資安曝險的 80%,也占威脅關鍵資產風險的三分之一。XM Cyber 是業界首家將 Active Directory 攻擊手法納入完整攻擊路徑分析的廠商,能整合多種攻擊技術,精確定位最高風險點並提供逐步修復指引。
- 攻擊路徑可視化
攻擊者進入企業環境後的移動路徑,往往遠比單一漏洞更危險。XM Cyber 能模擬完整攻擊鏈:
受駭終端 → AD 權限提升 → 取得網域管理員 → 入侵支付系統
- 聚焦真正重要的修補項目
客戶案例顯示,XM Cyber 幫助某組織從數千個需要修補的關鍵漏洞,縮減至只需優先處理 10 至 15 個,以此防止核心資產遭到入侵。
給 CISO 的採購決策建議
面對日趨嚴峻的資安威脅與稽核合規壓力,台灣企業在評估資安平台時建議考量以下要素:
- 是否支援 CTEM 框架:平台是否能持續、自動化地執行曝險識別與驗證?
- 是否具備攻擊路徑視角:能否從攻擊者角度模擬入侵路徑,而非僅列出漏洞清單?
- 是否整合身份與雲端環境:涵蓋 Active Directory、Entra ID 及多雲環境的曝險偵測?
- 修復優先排序邏輯:能否幫助資安團隊聚焦在真正影響業務的高風險曝險?
開啟您的 CTEM 資安升級之路
如果您正尋找更有效率的方式來管理攻擊面、優先處理高風險曝險,並提升整體資安韌性,XM Cyber 將是值得深入了解的選擇。
