Évekkel ezelőtt volt olyan szolgáltatás, hogy a rendszereidnek megfelelően fizettél elő CVE és egyéb security riasztás-válogatásra, nem tudom, létezik-e még, mindenesetre így egy rakás felesleges olvasgatást meg lehet úszni. Persze ennek megvan azt a veszélye, hogy ha nem tudsz róla, hogy egy adott rendszert vagy alkalmazást elkezdtek használni, akkor nem fogsz rá előfizetni sem. De persze akkor az összes CVE-t is hiába nézed át.
Ráadásul gondolom a policy is kockázatelemzéssel megy, és a publikusak elérhető szerverekre szigorúbb frissítési rend van előírva. Persze ehhez meg a belső hálózatot sem árt jobban szegmentálni.