本文來(lái)自GoUpSec。
2024年,安全運(yùn)營(yíng)(SecOps)領(lǐng)域迎來(lái)重大變革。根據(jù)Gartner最新發(fā)布的《安全運(yùn)營(yíng)技術(shù)成熟度曲線》報(bào)告,持續(xù)威脅暴露管理(CTEM)到達(dá)炒作周期的頂峰,Gartner為該概念增加了三個(gè)新興類(lèi)別:威脅暴露管理(Threat Exposure Management)、暴露評(píng)估平臺(tái)(Exposure Assessment Platforms,EAP)以及對(duì)抗性暴露驗(yàn)證(Adversarial Exposure Validation,AEV)。
2024年安全運(yùn)營(yíng)炒作周期圖來(lái)源:Gartner
CTEM這一概念由Gartner在2022年首次提出,旨在為企業(yè)提供一種結(jié)構(gòu)化的方法,持續(xù)評(píng)估、優(yōu)先處理、驗(yàn)證和修復(fù)組織攻擊面上的暴露點(diǎn),使企業(yè)能夠迅速應(yīng)對(duì)最關(guān)鍵的風(fēng)險(xiǎn)。該框架的提出,幫助企業(yè)在面對(duì)日益擴(kuò)大的攻擊面時(shí)更加游刃有余。
CTEM新類(lèi)別的定義為不斷演變的暴露管理技術(shù)領(lǐng)域提供了結(jié)構(gòu)化指導(dǎo),有助于企業(yè)識(shí)別最適合支持CTEM實(shí)施的安全廠商。
以下是對(duì)新類(lèi)別及相關(guān)產(chǎn)品的解讀,及其對(duì)企業(yè)安全領(lǐng)導(dǎo)者的意義。
威脅暴露管理的兩大新類(lèi)別
威脅暴露管理是CTEM框架的核心,涵蓋了管理威脅暴露所需的所有技術(shù)和流程,并包括了以下兩個(gè)新興類(lèi)別:
暴露評(píng)估平臺(tái)(EAP):該類(lèi)別融合了傳統(tǒng)的漏洞評(píng)估和漏洞優(yōu)先級(jí)技術(shù),旨在簡(jiǎn)化漏洞管理并提升運(yùn)營(yíng)效率。Gartner將其評(píng)為高效益類(lèi)別,正是因?yàn)镋AP能夠大幅提升企業(yè)在應(yīng)對(duì)漏洞方面的能力。
對(duì)抗性暴露驗(yàn)證(AEV):該類(lèi)別將漏洞和攻擊模擬(BAS)與自動(dòng)化滲透測(cè)試和紅隊(duì)演練合并,提供連續(xù)的、自動(dòng)化的暴露證據(jù)。AEV通過(guò)模擬現(xiàn)實(shí)中的攻擊技術(shù)驗(yàn)證企業(yè)的網(wǎng)絡(luò)韌性,預(yù)期將迎來(lái)顯著的市場(chǎng)增長(zhǎng)。
EAP:減少對(duì)CVSS的依賴(lài)
EAP不僅能夠減少對(duì)CVSS評(píng)分的依賴(lài),還能提供更加上下文化的數(shù)據(jù),使漏洞優(yōu)先級(jí)的確定更加精準(zhǔn)。CVSS評(píng)分固然有用,但它只是一個(gè)指標(biāo),無(wú)法告訴你在具體環(huán)境和威脅態(tài)勢(shì)下漏洞的可利用性。而EAP則結(jié)合了威脅情報(bào)和資產(chǎn)重要性信息,使得企業(yè)能夠聚焦于實(shí)際對(duì)業(yè)務(wù)構(gòu)成風(fēng)險(xiǎn)的漏洞,而不僅僅是可利用的漏洞。
此外,EAP還能幫助企業(yè)識(shí)別業(yè)務(wù)風(fēng)險(xiǎn),確保安全團(tuán)隊(duì)將精力放在那些可能對(duì)關(guān)鍵業(yè)務(wù)資產(chǎn)產(chǎn)生重大影響的漏洞上,而不是無(wú)關(guān)緊要的系統(tǒng)配置問(wèn)題。
AEV:鎖定現(xiàn)實(shí)威脅
盡管EAP能夠提供暴露的上下文信息,但它們?nèi)匀痪窒抻诶碚摂?shù)據(jù)分析,缺乏實(shí)際可利用攻擊路徑的證據(jù)。而AEV通過(guò)模擬對(duì)抗性攻擊,確認(rèn)哪些安全漏洞在特定環(huán)境中真正可被利用,并評(píng)估攻擊者在成功利用漏洞后能夠走多遠(yuǎn)。
簡(jiǎn)單來(lái)說(shuō),AEV可在廣泛的理論威脅中鎖定現(xiàn)實(shí)威脅。
AEV的另一個(gè)優(yōu)勢(shì)在于,它讓紅隊(duì)演練變得更加容易。紅隊(duì)需要獨(dú)特的技能和工具,而這些通常難以獲取。使用自動(dòng)化AEV產(chǎn)品可以幫助企業(yè)降低進(jìn)入門(mén)檻,提供一個(gè)不錯(cuò)的基準(zhǔn),讓紅隊(duì)能夠?qū)W⒂诟邇?yōu)先級(jí)領(lǐng)域。
AEV還可以使龐大的攻擊面變得更加可控。通過(guò)自動(dòng)化測(cè)試,安全團(tuán)隊(duì)可以定期、持續(xù)地在多個(gè)地點(diǎn)執(zhí)行測(cè)試,減輕安全人員的負(fù)擔(dān)。
CTEM實(shí)施面臨的挑戰(zhàn)與應(yīng)對(duì)策略
盡管CTEM框架為企業(yè)帶來(lái)了諸多優(yōu)勢(shì),但在實(shí)施過(guò)程中仍然面臨一些挑戰(zhàn)。
在EAP方面,企業(yè)需要超越合規(guī)和CVSS評(píng)分的思維定勢(shì)。僅將評(píng)估視為勾選清單式的活動(dòng),會(huì)導(dǎo)致企業(yè)忽視漏洞的可利用性和潛在影響之間的差異。
在AEV方面,找到覆蓋全面的技術(shù)解決方案也是一大難題。雖然許多廠商提供攻擊模擬或自動(dòng)化滲透測(cè)試功能,但這些功能通常被視為獨(dú)立的模塊。對(duì)于那些希望驗(yàn)證安全控制有效性和安全漏洞可利用性的企業(yè)來(lái)說(shuō),可能需要分別實(shí)施多個(gè)產(chǎn)品。
主動(dòng)風(fēng)險(xiǎn)管理的新時(shí)代
自?xún)赡昵癈TEM框架問(wèn)世以來(lái),企業(yè)對(duì)主動(dòng)風(fēng)險(xiǎn)暴露管理的需求日益增長(zhǎng)。此次Gartner的技術(shù)成熟度曲線中呈現(xiàn)的新分類(lèi),反映了這一領(lǐng)域產(chǎn)品的日趨成熟,推動(dòng)了CTEM框架的實(shí)際應(yīng)用。
在選擇AEV產(chǎn)品時(shí),建議企業(yè)尋找能夠無(wú)縫整合BAS和滲透測(cè)試功能的解決方案,因?yàn)榇蠖鄶?shù)工具并不具備這一特點(diǎn)。優(yōu)先選擇無(wú)代理技術(shù),可以準(zhǔn)確模擬攻擊者手法,同時(shí)降低運(yùn)營(yíng)負(fù)擔(dān)。這種獨(dú)特的組合確保了安全團(tuán)隊(duì)能夠持續(xù)驗(yàn)證企業(yè)的安全狀態(tài),并且具有真實(shí)的攻擊相關(guān)性。