本文來自微信公眾號“安全牛”。
隨著數(shù)字化轉(zhuǎn)型的深入發(fā)展,網(wǎng)絡(luò)安全工作已經(jīng)得到企業(yè)組織的高度重視。但是在很多企業(yè)中,還是將安全建設(shè)的重心放在如何響應和處置已經(jīng)發(fā)生的安全事件上,這樣的防護模式并不能減少企業(yè)未來面對的安全風險。在此背景下,研究機構(gòu)Gartner提出,企業(yè)組織應該將網(wǎng)絡(luò)安全工作的重心從被動事件響應轉(zhuǎn)向主動威脅管理。
Gartner副總裁級分析師Jeremy D’Hoinne認為,通過鼓勵安全團隊采用主動的風險管理心態(tài),將會有效改善企業(yè)內(nèi)、外部的安全態(tài)勢,并可為企業(yè)長期安全管理戰(zhàn)略的轉(zhuǎn)變提供決策支撐。因為主動威脅管理并不關(guān)注攻擊事件本身,而是關(guān)注攻擊路徑,站在攻擊者的角度去思考攻擊可能發(fā)生在哪里,以及可能采用的攻擊戰(zhàn)術(shù)和實施手段。為了實現(xiàn)主動威脅管理的防護目標,組織需要完成以下五個關(guān)鍵步驟。
步驟1:界定組織的攻擊面
云計算的快速應用,及遠程辦公方式的興起,直接導致現(xiàn)代企業(yè)組織的網(wǎng)絡(luò)攻擊面迅速擴大,并導致聯(lián)網(wǎng)架構(gòu)出現(xiàn)越來越多的盲點。因此,要實現(xiàn)有效的網(wǎng)絡(luò)威脅主動管理,首先要從界定組織的攻擊面做起,全面跟蹤數(shù)字化環(huán)境中所有變化的因素并及時清點數(shù)字化資產(chǎn)。界定攻擊面的最終目的是,確保組織中沒有暴露的資產(chǎn)未受監(jiān)控,最大限度地消除安全盲點。
步驟2:持續(xù)進行資產(chǎn)發(fā)現(xiàn)
為了準確識別和界定攻擊面,組織需要通過探測互聯(lián)網(wǎng)數(shù)據(jù)集和證書數(shù)據(jù)庫,或模擬攻擊者的入侵方式,全面分析組織的數(shù)字資產(chǎn),并針對所發(fā)現(xiàn)的安全缺口,尋找實用的應對方法。很多組織會將界定攻擊面和資產(chǎn)發(fā)現(xiàn)相混淆,已發(fā)現(xiàn)的資產(chǎn)和漏洞的數(shù)量本身并不代表成功,基于業(yè)務風險和潛在影響準確地識別未知資產(chǎn)和新增資產(chǎn)對企業(yè)更加重要。做好主動威脅管理的基礎(chǔ)是要持續(xù)量化資產(chǎn)暴露面和風險問題,并且提供針對性的治理。
步驟3:評估威脅優(yōu)先級
盡管企業(yè)暴露的IT資產(chǎn)很多,但并不是所有的資產(chǎn)漏洞黑客都會感興趣。攻擊者通常會從一個最容易被利用的弱點切入,進而攻破重要系統(tǒng),造成數(shù)據(jù)篡改、信息泄露、病毒勒索等安全事件的發(fā)生。對網(wǎng)絡(luò)威脅進行優(yōu)先級評估的目的不是為了解決資產(chǎn)上的每一個安全問題,而是要將有限的資源和精力,優(yōu)先投入到防護最緊急的威脅。優(yōu)先級的確定應該考慮以下因素:
●威脅的緊迫感;
●威脅的嚴重性與破壞性;
●相應安全控制措施的可用性;
●對相關(guān)威脅風險的容忍度;
●企業(yè)面臨的風險等級。
步驟4:開展有效性驗證
根據(jù)Gartner的定義,在主動威脅管理的要求中,會明確涉及威脅有效性驗證的要求,因此企業(yè)的安全團隊不能只聚焦于識別發(fā)現(xiàn)和評估通知的能力,同樣應當具備攻擊有效性驗證核查以及收斂攻擊面的能力。從技術(shù)角度,融合驗證收斂能夠提升識別驗證與處置的效果,防止大范圍誤報、海量告警無從處理的情況發(fā)生。從管理角度,開展攻擊有效性驗證也保證了流程的閉環(huán),避免只告警待整改、不整改的情況發(fā)生。
實踐表明,攻擊驗證應當整合平臺自動化驗證以及安全服務涉及的專家驗證,其中自動化驗證能夠盡速縮減驗證范圍,提升人員驗證的效率;而專家驗證可以基于自動化驗證結(jié)果,也可基于專門場景。
步驟5:實施完善的威脅管理計劃
主動威脅管理是一種更加務實且有效的系統(tǒng)化威脅管理方法,可以有效降低組織遭受網(wǎng)絡(luò)安全攻擊的可能性。通過優(yōu)先考慮高等級的潛在威脅處置,CTEM實現(xiàn)了不斷完善的安全態(tài)勢改進,同時還強調(diào)有效改進安全態(tài)勢的處置要求。主動威脅管理工作的開展需要一套完善的實施計劃,并遵循治理、風險和合規(guī)性(GRC)的要求。
在實施主動威脅管理計劃時,雖然自動化技術(shù)有助于解決一些明顯或不明顯的問題,但企業(yè)不能完全依賴它。企業(yè)應該將主動威脅管理計劃傳達給安全團隊所有成員和其它部門的利益相關(guān)者,確保大家都已充分了解。實施完善的威脅管理接話,可以減少審批、實施過程或緩解部署等方面的障礙,確保團隊將主動威脅管理中發(fā)現(xiàn)的問題及應對措施諸實施,并將跨團隊的協(xié)同工作完整記錄。