Microsoft Security Exposure Management 电子书：主动防御成熟度模型

引言：为什么这很重要

Exposure management 正从“发现并修复（find-and-fix）”式的漏洞循环，转向一种持续、与业务目标对齐的安全学科。对于负责管理混合环境（身份、终端、云工作负载、SaaS）的 IT 与安全团队而言，工具链碎片化以及彼此割裂的修复工作，往往会带来噪声、错误的优先级排序和不确定的结果。Microsoft 的新电子书旨在提供一份可落地的路线图，帮助组织借助 Microsoft Security Exposure Management，成熟为一种主动且可度量的方法。

新内容：电子书《Establishing proactive defense》

Microsoft 发布了新的指南：“Establishing proactive defense — A maturity-based guide for adopting a dynamic, risk-based approach to exposure management.” 该电子书将 exposure management 定义为一种会随时间演进的能力，并以 五个成熟度等级 来刻画组织如何从可见性有限、被动修复，走向统一、由遥测（telemetry）驱动的项目化体系。

Exposure management 成熟度五个等级（高层概览）

• Level 1–2（被动 / 合规驱动）： 可见性有限且碎片化；修复通常由审计、单点发现或紧急告警推动，而非真实风险。
• Level 3（流程一致）： 更可重复的实践逐步形成；优先级排序更加结构化，减少临时性决策。
• Level 4（验证控制与统一数据）： 组织将资产与风险上下文整合为 single source of truth，并聚焦确认缓解措施确实有效。
• Level 5（持续且与业务对齐）： Exposure management 成为一种 战略性学科，由实时遥测与自适应风险建模提供支撑，用于指导修复、资源分配与长期韧性建设。

指南强调的关键主题

• 跨攻击面的统一： 将资产、身份、云态势与攻击路径汇聚到一个一致的视图中。
• 以风险驱动的优先级： 从孤立信号转向反映 业务影响 的决策。
• 结果验证： 测试并验证改进是否带来 真实风险降低，而不只是“关闭”。
• 持续成熟： Level 5 不是终点；该模型将成熟度视为持续、动态演进的过程。

对 IT 管理员与安全团队的影响

对于与安全团队协作的 Microsoft 365、终端与云管理员而言，这个成熟度模型可作为一个有用的结构，用于：

• 将修复工作与业务关键服务对齐（身份、特权访问、crown-jewel 工作负载）。
• 降低来自多条待办队列的运营消耗（漏洞发现 vs. 态势建议 vs. 攻击路径洞察）。
• 建立可重复的工作流，使风险接受、缓解验证与报告保持一致。
• 在安全、IT 运维与风险相关方之间建立共享上下文——在复杂租户与多云/混合环境中尤为重要。

行动项 / 下一步

1. 与安全管理层和运营负责人（身份、终端、云、漏洞管理）一起 下载并审阅该电子书。
2. 评估当前成熟度等级，识别最直接的“下一步”能力（可见性缺口、优先级方法、验证流程）。
3. 优先推进统一工作：资产清单/覆盖、身份 exposure、云态势与攻击路径可见性，应汇入一致的决策流程。
4. 为修复加入验证环节：定义“fixed”的含义（控制有效性、配置漂移检查以及可度量的风险降低）。
5. 如适用，参与 RSAC 2026（3 月 22–26 日，旧金山），深入交流并观看 Microsoft Security Exposure Management 的讨论与演示。

来源：Microsoft Security Blog（2026 年 2 月 19 日），作者 Adi Shua Zucker。