本文来自微信公众号“科技云报到”。
近日,Gartner发布了2024年企业机构需要探索的10大战略技术趋势。
这份连年更新的报告,是Gartner分析其在未来三年内如何影响企业的战略,以指导关键岗位决策者尽早了解探索并满足各自的业务需求。
2024年十大重要战略趋势包括:
●全民化的生成式AI(Democratized Generative AI)
●AI信任、风险和安全管理(AI Trust,Risk and Security Management)
●AI增强开发(AI-Augmented Development)
●智能应用(Intelligent Applications)
●增强型互联员工队伍(Augmented-Connected Workforce)
●持续威胁暴露管理(Continuous Threat Exposure Management)
●机器客户(Machine Customers)
●可持续技术(Sustainable Technology)
●平台工程(Platform Engineering)
●行业云平台(Industry Cloud Platforms)
不难发现,与AI相关的技术应用已经占据半壁江山,而构建安全的基础是加速数字化转型的底座。本篇将重点介绍安全相关的CTEM技术趋势,聊聊网络安全技术未来可能的进化方向。
主动式安全防御新思路
持续威胁暴露管理(CTEM)
主动安全防御的理念已经被提出很多年,但是很多安全专家对这种想法似乎已经不再抱有希望。
原因是新型的网络攻击始终都在不断变化,攻击者有充分的时间和资源来设计新的攻击策略,以绕过防御、逃避检测。
因此,基于拦截攻击这种思路所设计的主动网络安全模型在实践中表现得往往差强人意。
在此背景下,2022年中,Gartner发布了《实施持续威胁暴露面管理(CTEM)计划》,提出了CTEM这种主动式安全防御新思路。
它并不关注攻击事件本身,而是关注攻击路径,站在攻击者的角度去思考攻击可能发生在哪里,以及可能采用的攻击战术和实施手段。
由于大多数企业组织的数据泄露都可以归因为有限的攻击面可见性,而CTEM正是强调了实时性的安全威胁发现、修复和缓解。
但值得注意的是,持续威胁暴露管理并不是一种单一技术,期望在供应商那儿找到一个CTEM解决方案是不现实的。
相反,CTEM是包含5个阶段的连续计划或框架,旨在帮助企业监测、评估和降低漏洞可利用水平,并验证其数据分析和修复流程是最优的。
Gartner将CTEM分为五个步骤,分别是范围界定、发现弱点、优先级排序、安全验证和动员。
构建CTEM计划的企业使用工具对资产和漏洞进行清点和分类,模拟或测试攻击场景和其他形式的态势评估过程和技术,达到成熟阶段,使企业能够持续和一致地评估自身数字和物理资产的可访问性、暴露面及可利用性。
简单而言,CTEM通过鼓励安全团队采用主动的风险管理心态,而非传统模型的被动心态,这将有效改变企业内部和外部攻击面管理模式。
根据Gartner的预测,到2026年,成功实施CTEM计划的组织所遭受的网络攻击威胁将会减少三分之二以上。
CTEM应用挑战及应对
尽管CTEM有很多优点,但其真正实现也并不容易,因为这需要安全运营团队长期投入大量时间、人员及其他资源。
企业在实施CTEM计划时,需要让威胁暴露面管理评估成为一种常态,并将暴露面管理变成多层次的过程,具体包括:
●风险搜寻:旨在隔离和预测可能存在的攻击路径;
●危急评估:旨在按照风险级别和危害性对暴露面进行合理排序;
●系统补救:旨在消除系统中存在的安全漏洞和不足;
●设定目标:旨在使网络风险管理与数字化发展目标协同一致。
同时,为了保障CTEM项目的顺利实施,研究人员总结了以下实用性建议:
确保现有的风险缓解流程都已优化并可扩展
由于在CTEM计划实施后,系统之间的数据共享需求将显著增加,因此必须首先优化当前的威胁发现和风险管理程序。
否则,安全团队将需要把大部分时间花在集成故障排除上,而不是管理攻击面,这就违背了制定CTEM计划的初衷。
设计有效的事件响应计划
只有当组织能够及时响应每个检测到的威胁时,CTEM计划所增强的威胁可见性才能真正发挥作用。
事件响应计划可帮助安全团队在实时网络攻击的压力下,有条不紊地采取适当的威胁响应措施。
绘制内、外部攻击面
企业的攻击面管理解决方案应该能够映射出所有的攻击面,只有实现充分的可见性才能完全符合CTEM的要求。
因此,攻击面管理解决方案需要可以检测复杂的攻击向量,例如生命周期结束的软件、链接到易受攻击服务器的域、未维护的页面等,所有这些风险都能被轻松解决,从而快速减少攻击面。
采取基于风险的方法
增强的可见性使安全团队能够了解其攻击面状态。但是,只有当安全团队了解如何有效地分配风险缓解工作时,这些信息才有用。
基于风险的漏洞管理方法(RBVM)是一个框架,可用于帮助安全团队决定将安全响应工作的重点放在哪里。
通过明确定义的风险偏好,RBVM框架会根据威胁对组织安全状态的可能影响来判断优先处理哪些威胁。
持续地优化改进
实时威胁可见性的要求已经超越了传统的数字领域。在潜在威胁渗透到组织网络之前,企业所有的员工在发现这些威胁方面都会起着至关重要的作用。
因此,建议尽快更新组织的网络安全意识培训计划,强调日常业务环境中威胁可见性和警惕性的重要性,并根据每个员工的日常反馈,不断更新优化CTEM流程与目标。
国内CTEM应用实践
威胁驱动已成为过去时,风险驱动才是未来的安全操作趋势。企业需要从传统的威胁防御转向基于风险的方法,将资源集中在最重要的领域,重点防范可能的攻击点。
持续风险管理成为企业的唯一选项,而攻击面管理提供了实现持续风险管理的最佳实践。
华云安创始人兼CEO沈传宝在采访中谈到,如今的安全主题正从威胁扩展到风险管理,对应到Gartner提出的实施持续威胁暴露管理(CTEM)计划,其列出了一套流程和能力,使企业能够持续不断地评估企业的物理和数字资产的可访问性、暴露性和可利用性,
华云安的产品体系架构与CTEM理念高度一致,推出的云原生的持续风险管理产品,是以攻防视角构建的一体化的攻击面管理、安全验证和自动化防御安全体系。
其中,以网络资产攻击面管理(CAASM)、外部攻击面管理(EASM)、入侵和攻击模拟(BAS)、弱点优先级技术(VPT)、高级威胁检测与分析(TDR)几大产品为支撑,既可独立提供各自的安全能力,又能编排联动形成全面且完整的攻击面整体解决方案。
与之持有相同理念的还有亚信安全,将攻击面管理(ASM)服务升级为持续威胁暴露面管理(CTEM)服务,为企业提供全方位的暴露面收敛和管理。
这一服务覆盖暴露面的发现识别、风险分析修复、对抗评估验证以及威胁持续监测等环节,通过系统性的威胁管理计划和流程,提升企业的安全建设水平。
具体而言,通过资产梳理以攻击者视角全面理清企业暴露在互联网中的数字资产;
通过常规检测、脆弱性检测、威胁情报、威胁定位等方式,评估和分析资产属性,确定数字资产存在的风险、脆弱性或异常行为;
通过深入分析攻击路径和技术手段,并根据分析结果为企业制定个性化的防御策略和措施,提供全方位的安全防护;
通过实时监控和快速响应,及时发现安全事故,并采取措施进行阻断和修复。
同时持续关注最新的威胁情报和漏洞信息,提供及时的安全更新和修复建议。
可以看到,攻击面管理是实现持续威胁暴露管理(CTEM)的重要抓手,同时结合创新的资产漏洞管理、自动化安全测试、BAS、XTI等技术,以确保不间断的威胁监控与管理,能够有效帮助用户实现不断完善的安全态势改进。