在当前的威胁形势下,网络安全管理绝非易事。企业网络安全管理人员需要找到改进的框架和工具来降低网络安全风险,包括从简单的安全事件处理转变为更成熟、战略性增强的具有检测和响应能力的预防控制。现有的攻击面管理方式无法跟上企业数字化转型的发展速度,CTEM(ThreatExposureSurfaceManagement)技术应运而生。威胁暴露管理系统方法论研究机构Gartner认为,CTEM是一种更加务实有效的系统化威胁管理方法论,可以大大降低组织暴露于安全漏洞的可能性。CTEM通过优先处置高级别潜在威胁,实现安全态势的持续改善,将“修复和态势改善”与暴露面管理计划分开,强调有效态势改善的处置要求。同时,CTEM项目的运行有特定的时限。遵循Governance,RiskandCompliance(GRC)要求,可为企业长期安全管理策略的转变提供决策支持。研究人员还认为,CTEM应用仍处于不断优化升级的过程中。优化威胁暴露管理需要考虑以下三个关键要素:持续实施、系统框架和人工智能。威胁检测和处理应该是一个连续的过程,这样才能保证威胁防御的有效性。通过利用已建立的网络安全框架,您可以充分利用最新且准确的威胁情报和补救经验。通过人工智能和自动化,可以更有效地管理威胁暴露并避免人为错误。要点一:持续实施CTEM计划。威胁暴露管理的持续发展需要包括定义范围、发现和识别、确定优先级、验证模拟和采取行动五个循环阶段。这是一个连续的动态过程。在CTEM项目实施过程中,这五个阶段可能会不断重启,以确保不间断的威胁监控和管理。定义范围是开发威胁暴露管理的第一步。这个阶段需要结合业务和安全的角度来识别和筛选关键业务资产威胁、高价值资产威胁或敏感资产威胁。发现识别需要澄清组织的IT基础设施、网络、应用程序和敏感数据资产。此阶段旨在发现错误配置、漏洞和缺陷,以便可以根据各自的风险级别对威胁进行分类。优先级侧重于评估漏洞被利用的可能性。那些最有可能被利用的将首先被修复。低优先级漏洞的修复被推迟,直到有足够的资源可用。验证模拟侧重于针对已发现漏洞的测试攻击,以检查现有安全控制是否足够有效。此阶段还用于评估响应和补救机制是否充分到位。采取行动是指根据验证阶段的结果,对发现的漏洞和风险采取纠正措施。这通常是一个手动过程,但如果各方密切合作,就可以顺利完成。此外,“采取行动”阶段会生成有关CTEM流程的综合数据,从而促进下一个周期中更高效的流程。CTEM不仅仅是一个安全工具或产品,而是一个系统的威胁管理程序和流程,任何组织都可以采用它来提高其管理威胁暴露的能力。要点2:利用成熟的安全框架网络安全框架提供了一个有效的处置知识库,可以更有效地检测和应对威胁。它们为如何保护数字资产的安全提供了一套科学合理的制度和方法。以MITREATT&CK框架为例。该框架提供权威信息供相互比较,介绍全球最新的反制措施和技术,包括最近发现的漏洞和被攻击者利用的信息。该框架提供的威胁情报非常详细,不仅详细描述了威胁,还描述了威胁利用的过程、具体的攻击实例以及他们使用的攻击工具。通过应用MITREATT&CK框架,可以使威胁识别和解决系统化。NIST网络安全框架也是一个非常实用的资源。它列出了管理网络风险的标准、指南和最佳实践,可以指导企业在企业威胁识别、防护、检测、响应和恢复五个方面进行风险管理。此外,还有ISO/IEC27001,它被认为是一种国际网络安全标准,可以帮助组织应对常见的安全威胁。它需要对信息安全威胁进行系统化管理,要求组织设计和实施信息安全策略,并采用持续的风险管理流程。要点3:充分利用AI技术网络犯罪分子已经在使用AI发起或实施攻击,不及时了解情况是不合逻辑的。当网络分析师被源源不断的攻击搞得不知所措、不知所措时,自动化和基于机器学习的解决方案就更加必要了。组织使用的多种安全控制会生成大量安全数据、警报和安全事件报告,仅靠分析师无法令人满意地处理这些问题。必须有一种方法可以自动处理相对简单问题的警报并标记复杂问题。供分析师人工审查的安全问题。人工智能和自动化目前在检测和管理威胁方面发挥着重要作用。可以训练AI快速检测恶意软件或恶意网络活动,不仅基于威胁身份,还基于行为模式。甚至可以开发预测智能来预测潜在的攻击。此外,人工智能和自动化在打击恶意机器人攻击方面非常有效。恶意机器人攻击已经占互联网流量的很大一部分,它们在不断寻找漏洞和攻击机会的过程中构成了严重的风险。人工智能系统可用于检测机器人活动,将其与人类行为区分开来,并准确识别非恶意机器人行为,如搜索引擎爬虫、版权机器人、聊天机器人、新闻源机器人和网站监控服务等应用程序。
