持續威脅暴露面管理(CTEM)會顛覆網路安全傳統嗎?

不管我們是否願意接受,有一個殘酷的現實必須要面對,網路安全形勢正在不斷惡化而非緩解,網路攻擊的複雜性、多發性和危害性都在不斷打破記錄。在此情況下,我們應該反思:為什麼之前所做的一切努力並沒有顯著改善當前的網路安全健康現狀?

長期以來,網路安全行業一直在不斷強調威脅檢測和響應的作用,但是種種跡象表明,各種新型的網路攻擊不僅沒有減少,而且似乎根本無法阻止。當企業投入大量的資源(時間、金錢和人力)來發現正在發生或已發生的網路攻擊,又投入更多的資源去清除威脅時,新的攻擊卻隨時會突破防禦並導致故態復萌。在此情況下,企業安全團隊該如何相信這種立足於檢測和響應的安全機制會變得更好,而不是變得更糟呢?當一種防護模式已被多次證明無力應對當下的安全威脅時,何不嘗試尋找一些其他的創新策略和思路呢?

是改變現狀時候了

主動安全防禦的理念已經被提出很多年,但是很多安全專家和研究人員對這個想法似乎已經不再抱有希望,原因是由於攻擊在不斷變化,攻擊者有充分的時間和資源來設計新的攻擊策略,以繞過防禦、逃避檢測。因此,基於攔截攻擊這種思路所設計的主動網路安全模型在實踐中表現的往往差強人意,也就不足為奇了。

在此背景下,研究機構Gartner提出了一種基於威脅暴露面管理的主動式安全防禦的落地新思路。它並不關注攻擊事件本身,而是關注攻擊路徑,站在攻擊者的角度去思考攻擊可能發生在哪裡,以及可能採用的攻擊戰術和實施手段,這個過程也叫風險搜尋。在識別和分析所有可能的威脅暴露點之後,就可以根據其脆弱程度和危害程度制定威脅暴露面管理計劃,從而系統性地解決數字化業務系統的安全隱患。因此,在Gartner給出定義中,威脅暴露面管理並不是一種技術手段,而是下一代安全運營的創新模式。

威脅暴露面管理流程示意

威脅暴露面管理流程示意

大多數網路攻擊都是需要入口的,如果企業的威脅暴露面消失了,那麼攻擊行動在滲透之前就已經失敗了。暴露面管理不是為了解決在攻擊事件發生後如何快速發現和應急響應,而是通過關閉通往敏感目標的入侵途徑,來實現對其安全防護的效果。由於企業的數字化業務和資產在不斷變化中,因此對暴露面的管理工作也不是一勞永逸的,這是一種持續的方法和運營過程,需要經過安全專家的綜合分析,將合適的資料和技術結合起來,對各種暴露面進行合理排序,實現最最佳化的防護效果。

如果說基於威脅檢測和響應的傳統網路安全模型是以加強防禦為導向,那麼暴露面管理或將顛覆傳統,因為它強調主動出擊,在攻擊發生前發現和修復暴露面,封堵可能被利用的攻擊路徑。通過主動管理暴露面來防止攻擊發生,這有望改變目前網路安全攻防對抗中的遊戲規則。

威脅暴露面管理如何實現?

暴露面管理的優點顯而易見,但其真正實現也並不容易,因為做好暴露面管理工作需要安全運營團隊長期投入大量時間、人員及其他資源,這會比大多數安全團隊真正可利用的資源多得多。企業安全運營團隊也許能找到一些暴露面,但卻無力實施完整的堵住計劃。他們可能會關閉幾條攻擊途徑,但新的攻擊途徑卻在不斷產生。暴露面管理會成為一個理想卻不可能實現的概念嗎?

當企業希望在網路安全建設中顛覆傳統時,也必須認真思考可行性,並設立相關的行動標準和計劃,因為網路攻擊者就是這麼做的。為了更好地將威脅暴露面管理付諸實踐,Gartner給出了一種務實且有效的系統化威脅管理方法論CTEM(Continuous Threat Exposure Management),通過優先考慮高等級的潛在威脅處置,CTEM實現了不斷完善的安全態勢改進,將”修復和態勢改進”從暴露面管理計劃中分離,強調基於企業實際業務狀況改進安全威脅態勢的處置要求。同時,CTEM計劃的運作有特定的時間範圍,它遵循治理、風險和合規性的綜合要求,可為企業長期網路安全管理戰略轉型提供決策支撐。

CTEM應用還處在不斷最佳化升級過程中,因此在最佳化威脅暴露管理需要考慮以下三個關鍵要素:持續實施、系統框架和人工智慧。威脅暴露面管理應該是一個持續的過程,這樣才可以保障威脅防禦的效果;利用已確立的網路安全框架,則可以充分享用最新又準確的威脅情報和處置經驗;而通過人工智慧和自動化技術,能夠更有效地管理威脅暴露、避免人為錯誤。

在實施CTEM計劃時,企業需要讓暴露面管理評估成為一種常態,並將暴露面管理變成多層次的過程,包括如下:

  • 風險搜尋,旨在隔離和預測可能存在的攻擊路徑;

  • 危急評估,旨在按照風險級別和危害性對暴露面進行合理排序;

  • 系統補救,旨在消除系統中存在的安全漏洞和不足;

  • 設定目標,旨在使網路風險管理與數字化發展目標協同一致。

當以上四個方面要求得到持續整合時,企業就可以應對不斷變化的攻擊環境中各種威脅。CTEM方法有望能夠更好地阻止各種新型攻擊,但也需要清楚認知,CTEM需要不同於以往的網路安全專業知識支撐。

一些創新的網路安全服務商正在嘗試將CTEM作為一種服務來提供,幫助企業使用者提供風險搜尋、評估和補救,以交付企業數字化業務發展所需的安全保障結果,在此過程概念中,服務商需要有專業的團隊和能力來幫助企業發現更多的潛在被攻擊路徑,並結合時間、人員和技術,實現暴露面管理。對於像暴露面管理這種高價值但資源密集型的工作,在一定程度上選擇服務外包是非常合情合理的,這業讓更多的企業可以利用CTEM來實現主動安全防護能力,從而在應對攻擊者時佔據上風。

文章來源:安全牛綜合編譯

相關文章

如何應對網路安全中的配置漂移問題?

如何應對網路安全中的配置漂移問題?

眾所周知,確保網路設備與應用系統的安全運行是減少基礎架構攻擊面的基礎和前提,為此,國際網際網路安全中心(CIS)等組織陸續頒佈了相關工作指南...