2026风险敞口差距报告 目录 16 优先排序 执行摘要 攻击者在更广阔、更复杂的暴露表面上移动得更快。到2026年,漏洞在关键暴露中的占比翻了一番多,从18.7%上升到42.6%,而钓鱼网站暴露则从1.0%增长到10.5%。随着自动化和AI辅助工具加速对系统、凭证、钓鱼基础设施和已知弱点的测试,传统的补丁周期和人工分诊正难以跟上步伐。这就是暴露差距:即可见性、优先级排序和安全修复之间的距离。 正是这个差距,才使得风险暴露管理不能止步于可见性。随着与漏洞相关的风险不断增长,团队需要一种方法来将紧急且可利用的问题与其他更广泛的警报群体区分开来。 在分析的漏洞警报群体中,经过可利用性验证后,仅有7.8%需要得到关键或高等级的关注。超过90%的警报则无需同样紧急的修复关注。这就是暴露管理的价值所在:将庞大的警报群体减少为更小、经过验证的可利用问题集合,使安全团队能够自信地优先处理。 奇点暴露管理通过将发现、循证优先级排序、可利用性验证、控制评估和安全修复整合在一个工作流程中,有助于弥合这一差距。报告显示,更快的修复是可行的:公用事业行业率先实现一小时修复率30.0%,其次是金融服务行业23.1%,政府行业14.3%,医疗保健行业7.7%。在四个行业中,组织平均对85.9%的建议修复措施采取了行动。 风险管理正成为衡量运营准备状态的标准。成熟的项目将以其识别紧急风险敞口的速度、验证风险、评估控制覆盖范围、安全应用修复措施以及在被攻击者抓住机会造成业务影响之前降低风险敞口的能力来定义。 公用事业组织在一小时内解决了关键风险敞口,这是所有行业中最高的。 行业亮点 医疗保健领域63.6%的关键信息暴露属于内部信息泄露。 91.7%的金融服务机构采取了建议的修复措施 12.6小时最短中位数整改时间,由公用事业组织实现 10,155月平均每项补救措施金融服务组织 为什么存在暴露差距? 医疗保健、金融服务、政府和公用事业显示出不同的风险敞口模式,这有助于解释为何各行业的整改优先级有所不同。医疗保健主要由内部信息披露引领,金融服务则呈现出更广泛的风险类型组合,而政府和公用事业则主要受与漏洞相关的风险影响。 弥补这一差距取决于三种能力。 首先,组织需要对漏洞、暴露的信息资产、钓鱼网站、身份冒用活动、泄露的凭证以及其他外部暴露进行全面发现。发现上的空白会使风险保持隐形,直到其变得具有操作性。 其次,团队需要准确的优先级排序。发现工作可以产生大量告警,但并非所有告警都值得同等对待。安全团队需要识别出哪些漏洞是可利用的、活跃的、与业务相关的以及紧急的。 第三,组织需要安全的修复措施。风险降低不仅仅在于创建工单,团队需要能够验证变更、利用现有控制措施并降低风险,同时又不中断生产系统的工 作流程。 本报告分析了组织在这些阶段的表现。调查结果显示,关键风险集中在哪里,哪些情况需要立即采取行动,以及成熟的项目如何通过更快速、更安全的修复来降低风险。 曝光 暴露景观 2026年的风险暴露格局以集中性为特征。漏洞成为最大的关键风险来源,而内部信息泄露在所有客户环境中仍然是主要贡献者。这两类风险合计占所有关键风险暴露的约76%,表明风险主要集中在可利用的弱点和暴露的信息资产上。 曝光构图 2026年,漏洞构成了最大类别的关键风险,占比42.6%,其次是内部信息泄露,占比33.3%。网络钓鱼网站是第三大类,占比10.5%,而恶意文件和受损访问令牌分别占比4.6%和1.8%。 其余暴露类别合计占关键暴露的比例不到10%。这种分布表明,虽然风险来自多种暴露类型,但关键暴露格局主要由漏洞管理和信息暴露所塑造。 随时间变化的曝光 2025年至2026年,关键风险敞口构成发生了显著变化。在本报告中,关键风险敞口是指被Check Point风险敞口管理(Check Point Exposure Management)归类为“关键”级别的警报。这些百分比反映了每种风险敞口类型在所有关键风险敞口警报中所占的份额,而非总警报量。 漏洞占比从所有关键暴露的18.7%上升至42.6%,成为主要的暴露类别。网络钓鱼网站暴露也急剧增加,从1.0%上升至10.5%。与此同时,内部信息泄露从56.8%下降至33.3%,恶意文件暴露则从18.3%下降至4.6%。 总体而言,数据显示出一种明显的转变,即从以信息披露和恶意软件为主导的暴露转向与漏洞和网络钓鱼相关的风险。到2026年,内部信息披露仍然是第二大类别,这表明暴露的信息资产仍然是关键暴露格局中的主要组成部分。 行业曝光 各行业的风险暴露情况差异显著。公用事业、政府和制造业主要受漏洞影响,而医疗保健、电信、科技与IT以及金融服务则主要受内部信息披露影响。这些差异表明,风险暴露管理重点应因行业而异。 行业曝光构图 行业配置 公用事业记录了最高的漏洞暴露集中度,其中漏洞占关键暴露的78.2%。政府和制造业也显示出以漏洞为主导的特征,漏洞分别占其关键暴露的56.4%和52.9%。这些结果表明,可利用的弱点仍然是多个运营、工业和公共部门环境中的主要暴露驱动因素。 内部信息泄露是医疗保健、电信、技术和IT以及金融服务领域的主要类别。医疗保健领域记录了最高的集中度,达到63.6%,其次是电信领域的58.9%,技术和IT领域的53.1%,以及金融服务领域的42.7%。这些模式表明,暴露的信息资产、配置差距和数据治理挑战仍然是服务导向和信息密集型行业的主要关注点。 金融服务因其更均衡的风险敞口配置而脱颖而出。内部信息披露是最大类别的风险敞口,但恶意文件占关键风险敞口的27.8%,而受影响的员工凭证和漏洞分别约占9%。这表明金融服务机构面临着涉及信息披露、恶意软件、身份相关风险敞口、网络钓鱼以及可利用弱点的风险。 医疗保健中的曝光构图 行业聚焦 安全团队始终面临着风险出现与修复之间的时间差。到2026年,这个时间差更难管理了,因为攻击者可以更快地测试更多组织中的更多漏洞。 自动化和人工智能辅助的攻击工具改变了暴露发现的规模和速度。威胁行为者可以快速测试暴露的系统、凭证、网络钓鱼基础设施和已知漏洞,直到找到可用的入口点。一旦存在该入口点,后续活动如横向移动和数据访问也会加速。其结果是,防御者识别、优先处理和减少暴露以避免造成影响的时间窗口变短。 医疗保健 医疗保健行业是所分析行业中集中度最高的暴露类型之一。内部信息披露占关键暴露的63.6%,其次是漏洞占17.6%,恶意文件占10.5%。这三大类别共同构成了医疗保健环境中超过90%的关键暴露。 本简介表明,医疗保健风险敞口管理应优先考虑暴露的信息资产,并与漏洞修复并列。医疗保健环境通常包括传统的医疗设备、互联的临床系统、敏感的患者数据以及众多第三方供应商。这些因素会增加信息泄露相关风险敞口的可能性,并使修复工作变得更加复杂。 金融服务 金融服务是所分析行业中风险敞口分布最为均衡的行业之一。内部信息披露是最大类别,占比42.7%,其次是恶意文件,占比27.8%。受损员工凭证和漏洞各占约9%,而受损访问令牌和钓鱼网站则进一步增加了风险敞口。 这一分布表明,金融服务机构面临着来自多条攻击路径的风险,包括暴露的信息资产、恶意内容、身份相关风险、网络钓鱼以及可被利用的弱点。该行业对面向客户的应用程序、数字银行平台和基于身份的工作流程的依赖,有助于解释为何风险敞口管理必须涵盖技术漏洞和非漏洞风险。 政府 政府组织在报告中显示出最清晰的转变之一。到2025年,恶意文件成为主要类别,占比39.9%。到2026年,漏洞已成为主要的暴露类型,占关键暴露的56.4%。 这一转变表明,在公共部门环境中,漏洞管理正成为降低风险暴露的主要驱动力。恶意文件占比仍显著,为22.9%,而内部信息泄露占比为18.7%。 许多公共部门组织管理着规模庞大且分散的环境,这些环境可能包含遗留技术、外部可访问服务以及关键基础设施系统。这些特点会增加可利用的弱点暴露的可能性。 公共事业 公用事业行业在所分析的主要行业中,其风险敞口集中度最高。漏洞占关键风险敞口的78.2%,这意味着在公用事业环境中的近五分之四关键风险敞口与漏洞相关。内部信息泄露是第二位,占比13.3%,而其余所有类别合计占比不足10%。 这种专注表明,在公用事业环境中降低风险很大程度上取决于快速识别和修复可利用的薄弱环节。公用事业机构通常运营操作技术环境和地域上分散的基础设施,这可能会增加对脆弱系统的暴露风险,并使修复工作在操作上更加敏感。 脆弱性集中度也随时间增加,从2025年的73.9%上升到2026年的78.2%。这进一步表明,脆弱性管理仍然是公用事业组织降低风险敞口的核心优先事项。 优先排序 优先级排序仍然是暴露管理中的核心挑战之一。大型组织会在漏洞、外部风险、威胁情报、网络资产攻击面管理和暴露监控等方面产生大量警报。挑战在于识别哪些暴露是紧急的、可被利用的、与业务相关的,以及已准备好采取行动的。 奇点暴露管理通过一个互联的优先级工作流来应对此问题。它通过威胁活动、弱点类型、暴露条件、资产关键性和环境中已有的防御控制措施等上下文信息来识别关键暴露,如上图所示。 通过持续的安全控制评估和开放花园方法,该平台评估了现有网络、端点、云、电子邮件、身份和操作系统控制方面的覆盖范围。 针对漏洞发现,可利用性验证通过确认哪些问题是可利用的以及缺乏足够的安全控制,从而进一步缩小警报范围。 这是关键发现: 漏洞在2026年成为最大的关键风险类别,但在利用性验证后,只有7.8%的漏洞警报值得重点关注或高关注。风险暴露管理有助于在庞大的警报群体中找到需要立即关注的小部分漏洞发现。 新发现为优先排序增添了另一层考量,即识别那些在公开之前可能需要采取行动的可利用问题。 可利用漏洞的优先级 并非所有漏洞警报都需要同等级别的紧急处理。在分析的漏洞警报群体中,仅有7.8%被验证为严重或高优先级。这一发现凸显了优先处理的必要性:将庞大的警报群体缩减为需要立即调查和修复的可利用问题的小部分。 AEV 帮助组织通过证明可利用性并识别需要重点关注的问题子集来对漏洞警报进行优先级排序。与其将每个漏洞警报视为同等重要,团队可以专注于那些具有已证明的可利用性并附带相关背景信息的问题。 请参见附录B,了解一个关键CVE中间件身份验证绕过漏洞的验证过程。 在分析的漏洞警报人群中,关键和高AEV发现占漏洞警报的7.8%。其中,高发现占6.8%,关键发现占1.0%。这表明AEV如何帮助安全团队将漏洞警报数量缩小到需要更深入调查和修复的一组发现上。 可利用信号 在AEV识别出需要关注的漏洞后,可利用性信号有助于团队确定优先处理顺序。已知被利用漏洞表明这些问题已与已知利用活动相关联,而新发现则指出了需要关注的可利用条件,即使这些条件并非先前已知的CVE或KEV。 新发现很重要,因为它们识别出传统漏洞优先级排序可能遗漏的可利用条件。虽然关键漏洞(KEV)指向已知与已知利用活动相关的问题,但新发现则表明,在公开知晓或广泛利用之前,潜在漏洞(AEV)可能暴露出关键风险。结合KEV和新发现,有助于组织在潜在漏洞(AEV)的发现中进一步确定优先级,通过区分已知被利用的风险和需要关注的新验证的可利用条件来实现。 优先处理其他高严重性风险暴露 并非所有高严重性暴露都是漏洞。信息泄露、钓鱼网站、恶意文件、凭证泄露以及访问令牌暴露,即使它们并非软件漏洞,也可能造成实质性风险。这些暴露类型可能导致数据泄露、凭证盗窃、品牌滥用、初始访问或后续攻击活动。 参见附录C,了解一次真实钓鱼攻击的验证过程。 在分析的“非漏洞”警报人群中,38.3%属于严重或高严重级别。这表明优先处理工作必须超越软件漏洞的范畴。安全团队还需要识别哪些“非漏洞”风险暴露足够严重,需要及时进行调查和修复。 实际意义十分明确:风险暴露管理不能仅依赖漏洞严重程度。成熟的优先级排序结合了可利用性验证、风险暴露背景、威胁情报、控制覆盖范围和