漏洞管理的核心一直仰仗由事件响应与安全团队论坛(FIRST)维护通用漏洞评分系统(CVSS)，很容易就会被CVSS评分误导，陷入数字游戏当中，这些操作往往只能降低纸面上的风险，而不是实际上的。传统漏洞管理方法执行的是渐进式风险降低操作，修复重点要么放在高CVSS的严重漏洞上（所谓以漏洞为中心的模式），要么根据资产的价值和暴露面来定（比如面向互联网、第三方访问、含有敏感数据、提供业务关键功能等等；所谓资产为中心的模式）。然而，不幸的是，两种模式往往都落入以最少的补丁封堵最多风险的境地。

Gartner表示，公司企业应将其漏洞管理操作转向以威胁为中心的模式，实现临近威胁清除，而不是逐步的风险减小。该新模式下，临近威胁的缓解优先级会被拉高。虽然不能预测谁会攻击我们，但至少可以预估谁或什么东西有可能成功实施攻击。