不管我们是否愿意接受,都有一个残酷的现实需要我们去面对。网络安全形势非但没有缓解,反而在恶化。网络攻击的复杂性、频率和危害性不断刷新记录。在此背景下,我们应该反思:为什么之前的种种努力并没有显着改善当前的网络安全健康状况?网络安全行业长期以来一直强调威胁检测和响应的作用,但种种迹象表明,新型网络攻击不仅没有减少,反而势不可挡。尽管组织投入了大量资源(时间、金钱和人力)来检测正在进行的或过去的网络攻击,并投入更多资源来消除威胁,但新的攻击随时可能突破防御并导致卷土重来。在这种情况下,企业安全团队如何相信基于检测和响应的安全性会变得更好,而不是更糟?当一种防御模型被多次证明无法应对当前的安全威胁时,何不尝试寻找一些其他的创新策略和思路呢?是时候改变现状了。主动安全防御的概念已经提出多年,但很多安全专家和研究人员似乎已经对这个想法放弃了希望。原因是由于攻击方式的不断变化,攻击者有足够的时间和资源来设计新的攻击策略来绕过防御和逃避检测。因此,基于拦截攻击思想设计的主动网络安全模型在实践中往往表现不佳也就不足为奇了。在此背景下,研究机构Gartner提出了基于威胁暴露管理的主动安全防御实施新思路。它不关注攻击事件本身,而是关注攻击路径。站在攻击者的角度,思考可能发生攻击的地方,以及可能采用的攻击策略和实现方式。此过程也称为风险搜索。在识别和分析所有可能的威胁暴露点后,可以根据其脆弱程度和危害程度制定威胁暴露管理计划,系统化解决数字业务系统的安全风险。因此,在Gartner给出的定义中,威胁暴露管理并不是一种技术手段,而是一种面向下一代安全运营的创新模式。威胁暴露面管理过程表明,大多数网络攻击都需要入口。如果企业的威胁暴露面消失了,那么攻击操作在渗透之前就已经失败了。暴露面管理不是解决攻击发生后如何快速发现和应对攻击,而是通过关闭通向敏感目标的入侵路径来达到其安全防护的效果。由于企业的数字业务和资产在不断变化,暴露面的管理不是一劳永逸的过程。这是一个持续的方法和操作过程,需要安全专家的综合分析,并结合适当的数据和技术。起身合理布置各种暴露面,以达到最佳保护效果。如果说传统的基于威胁检测和响应的网络安全模型是以加强防御为导向的,那么暴露面管理可能会颠覆传统,因为它强调主动攻击,在攻击发生之前发现并修复暴露面,阻断可能的利用。攻击路径。通过主动管理暴露面来预防攻击,有望改变当前网络安全攻防对抗的游戏规则。如何实施威胁暴露管理?曝光管理的优势显而易见,但真正落地并不容易,因为做好曝光管理需要安全运营团队长期投入大量的时间、人员等资源,这将是更多的资源比大多数安全团队真正可以使用的要多。企业安全运营团队或许能找到一些漏洞,但未必能实施完整的堵漏计划。他们可能会关闭一些攻击媒介,但新的攻击媒介一直在产生。曝光管理会是一个理想但不可能的概念吗?当企业在网络安全建设中想要颠覆传统时,也必须认真考虑可行性,制定相关的行动标准和计划,因为网络攻击者就是这么做的。为了更好地将威胁暴露管理付诸实践,Gartner提出了务实有效的系统威胁管理方法论CTEM(ContinuousThreatExposureManagement)。CTEM通过优先处理高级别的潜在威胁,实现持续完善的安全态势改善,将“补救和态势改善”与暴露面管理计划分开,根据企业实际业务情况,强调改善安全威胁态势的处理要求企业。同时,CTEM项目的运行有特定的时限。遵循治理、风险和合规的综合要求,可为企业网络安全管理的长期战略转型提供决策支持。CTEM应用仍处于持续优化升级过程中,因此在优化威胁暴露管理时需要考虑以下三个关键要素:持续实施、系统框架和人工智能。威胁暴露管理应该是一个持续的过程,这样才能保证威胁防御的有效性;使用已建立的网络安全框架,您可以充分享受最新、准确的威胁情报和处理体验;并通过人工智能和自动化技术,能够更有效地管理威胁暴露并避免人为错误。企业在实施CTEM计划时,需要将风险暴露管理评估常态化,将风险暴露管理变成一个多层次的过程,包括:风险狩猎,旨在隔离和预测可能的攻击路径;批判性评估,目的是根据风险等级和危害性对暴露表面进行合理排序;系统修复是为了消除系统中的安全漏洞和缺陷;目标是使网络风险管理和数字化发展目标协同。当以上四项需求不断融合时,组织才能在瞬息万变的攻击环境中应对威胁。CTEM方法有望更好地防止各种新型攻击,但也需要清楚地了解,CTEM需要与以前不同的网络安全专业知识。一些创新的网络安全服务提供商正在尝试提供CTEM即服务,帮助企业用户提供风险搜索、评估和修复,以交付企业数字化业务发展所需的安全结果。在这个流程理念中,服务商需要有专业的团队和能力,帮助企业发现更多潜在的攻击路径,结合时间、人员、技术来实现暴露管理。对于曝光管理等高价值但资源密集型的工作,在一定程度上选择服务外包是合理的。时间占上风。
