金融服务公司遭受网络安全攻击的频率比其他行业的企业的 300 倍，这就是我们公司投资并优先考虑漏洞管理计划的原因所在。

我们遭受大量严重的关键漏洞的困扰。庞大的数量使报告、优先排序和问题跟踪变得异常艰难。我们缺省一个企业级的漏洞管理解决方案。

我们所采用的电子表格解决方案复杂又无效，它从多个系统和扫描程序中提取了大量漏洞，最终导致漏洞管理团队和其他负责修复团队无法解构复杂的报告并深入研究相关数据。报告显示了漏洞的总体数量和基于公式的关键风险指标，但我们需要洞察分析该指标的计算方式以及哪些漏洞正在影响特定系统。

我们感到不知所措。漏洞扫描程序能够输出漏洞的数量，但我们无法可靠地将数据与特定系统和所有者相关联。如果没有有效的报告，系统管理员就无法知道从哪里进行补丁修复，而漏洞团队也无法提供有用的指导。

于是，压力给到了我们团队。数据如此晦涩难懂，让人感觉失去了控制。我们每个月都会向管理层汇报，希望漏洞数量呈下降趋势，但我们知道我们无法控制结果。我们感到十分无助。

此外，当时的供应商并没有对出现的问题承担责任，也没有解决其报告模型中阻碍我们取得进展的问题。我们需要全面改进我们的漏洞管理计划，并更换供应商。

我们寻求一种拥有专业知识、工具和智能的服务，帮助我们修复积压的漏洞，尤其是关键漏洞。2018 年 11 月开始启用的 X-Force Red 漏洞管理服务很快就展现了它的优势。X-Force Red 的资深黑客团队即刻分析了我们公司不同的技术领域和不同的业务线。他们彻底改进了数据模型，修复了重大数据质量问题，并引入至今仍在不断完善的自动化流程。

我们之前需要手动审核每个漏洞，并试图从数百万个漏洞中找出哪些可能是最有害的，而 X-Force Red 的自动排名公式可帮助我们更有效地优先处理最关键的漏洞。

X-Force Red 团队让方案变得透明化，为此我们能够确切知道算法是如何工作的。X-Force Red 运用其黑客思维，根据犯罪分子是否将其武器化以及暴露资产的价值来确定漏洞的优先级。与我们之前的手动方法相比，自动化优先排序只需几分钟的时间。这种快速响应可帮助我们立即修复漏洞以防止攻击，并使我的团队成员能够专注于其他任务。

在 X-Force Red 的协助下，我的团队能够将漏洞准确归属给相应修复负责人，同时也能够更轻松地随时评估这些负责人的表现。我们新获得的能力为系统所有者提供支持，并使他们承担责任，这推动了重大进步。X-Force Red 漏洞管理服务能够快速调整和改进我们的报告流程。现在，我们能够理解多年来一直无法解读的数据，并且可以根据需要以特定格式或切片的形式查看这些数据，这一切都归功于 X-Force Red 的漏洞管理服务。

数字不会说谎。与 X-Force Red 合作仅仅四个月，我们的最关键漏洞就减少了 60%，总漏洞减少了 44%。

现在，我们将应用 X-Force Red 漏洞管理服务的修复促进组件，以便将我们最重要的问题以可控的批次推送给负责修复的系统管理团队。

除了漏洞管理实践的报告和跟踪方面外，X-Force Red 团队还负责推动扫描基础设施的改进。多亏对配置的重新调整，我们现在能够以近两倍的速度扫描环境，以消除冗余扫描并解决扫描仪的配置问题。

我们的团队对继续与 X-Force Red 合作以及其漏洞管理服务对我们未来安全的重大影响充满信心。我感到非常高兴 - 合作伙伴超出预期的事情并不多见，但这次 X-Force Red 确实做到了。