近日,Gartner发布《实施持续威胁暴露面管理计划》,持续威胁暴露面管理计划是一种集成的迭代方法,优先考虑潜在的处理方法,并不断完善安全态势改进。报告中提出了企业无法通过自我评估风险来减少面临的威胁,需要采用并完善威胁暴露面管理计划,来应对威胁的观点,并提出了持续威胁暴露面管理的5个步骤,为企业提供了参考。

持续威胁暴露面管理应运而生

Gartner预测到2026 年,采用基于持续暴露面管理计划的企业遭受入侵的可能性将降低三倍。

企业都拥有自身的漏洞管理计划,但传统的方法已无法匹配快速发展的业务需求和不断扩大的攻击面风险。暴露范围远远超出了漏洞覆盖的范围。即便采取基于风险的漏洞管理(RBVM)方法也无法充分覆盖。

随着技术环境的复杂化及分散化,无论是在本地还是在云上,并且涉及容器、物联网和网络物理系统,企业攻击面管理的工作压力越来越大;另外,SaaS应用程序和供应链逐渐形成了新型的攻击面;因此,对于每个企业来讲,需要提高针对内部任何安全体系漏洞可视化,这样才能建立和维持强大的安全态势感知能力,然而大多数企业缺乏发现、控制风险的有效能力。

安全领导者一直在寻找改进的框架和工具来降低网络安全风险。这包括从单纯的预防方法转变为更成熟的、具有检测及响应能力的战略增强型预防控制。而现有管理攻击面的方法无法匹配数字化发展速度。CTEM应运而生,它是一种务实且有效的系统化方法论,并可不断优化升级(见图1)。

持续威胁暴露面管理是什么?

CTEM计划是一种集成的迭代方法,优先考虑潜在的处理方法,并不断完善安全态势改进。商业风险偏好会影响到通过修复和缓解控制的组合来选择网络安全问题的补救措施。将"修复和态势改进"从暴露面管理计划中分离,强调有效改进态势的跨团队要求。同样地,CTEM计划的运作有特定的时间范围。它遵循治理、风险和合规性(GRC)的要求,可为长期战略的转变提供信息,但在安全运营中心(SOC)团队的威胁检测和响应活动中,并没有实时限制。

图1:持续威胁暴露面管理

Gartner观察指出即使是规模庞大的成熟组织也在准备发展现有的漏洞管理计划,但缺乏结构化的工作流程,因此只能实施研究中的一些步骤。

CTEM的目标

CTEM计划是一套流程和功能,使企业能够持续和一致地评估自身数字和物理资产的可访问性、暴露面及可利用性。

成熟阶段,CTEM周期必须包括五个步骤才能完成:确定范围、发现识别、优先级、验证和采取行动(见图2)。构建CTEM计划的企业使用工具对资产和漏洞进行清点和分类,模拟或测试攻击场景和其他形式的态势评估过程和技术。CTEM计划需要为基础设施团队、系统和项目所有者提供有效的、可操作的路径,以便对发现的问题采取行动。

CTEM是周期性的。外部因素,如新的商业计划、企业结构变更或有新闻价值的攻击技术可能会触发CTEM过程,但不一定从周期的第一步开始(见图2)。除了漏洞的优先级和修复外,企业能够在CTEM阶段中收获正反两方面的教训,从而获得巨大的价值。

图2: 持续暴露面管理流程

CTEM计划是识别和规划解决方案的第一步。它需要进行跨团队的合作并与问责制相结合。需要在参与者间共享评估、跟踪、管理和修复风险的流程。运行CTEM计划的优点是可进一步结构化可重复的工作流程。修复过程并不简单,首先需要安全领导人动员所有人,并确定问题的解决是否会造成其他与运营业务功能有关的问题。CTEM计划使修复和安全态势优化超越了传统的补丁、签名和指导手册的结果,并且独立于CTEM计划而成熟。

CTEM并非工具,而是程序

构建多功能平台时,安全领导不应该陷入供应商的描述中,用构建多功能平台的方法取代解决CTEM计划指定目标的必要性。

跨框架的多组件的多功能平台有自身优点,但平台的目的可能影响其设计。来自攻击模拟或渗透测试平台攻击面仪表板,其目的在于迅速转到测试部分。来自漏洞优先级技术(VPT)、外部攻击面管理(EASM)或数字风险保护服务(DRPS)产品的仪表板则专注于设定修复的优先级。构建网络安全网状结构(CSMA)的企业有一个共识。随着CTEM项目的成熟,它将成为CSMA设计中安全情报层的重要来源。

CTEM流程

CTEM虽然可重复,但受五个核心阶段的制约。为了整体利益,每个步骤都执行不同的功能,每个阶段都需要在每次迭代期间重复。CTEM并不是纯风险驱动的活动,而是将传统的诊断功能转变为需要明确目标的可操作结果。

确定范围

对于大型企业来说,攻击面的范围超过了漏洞管理的范畴,就需要发展一组拓展资产包含:从传统的设备、应用程序到无形的元素(如企业的社交媒体账户、在线代码库和集成供应链系统)。解决这个问题的有效方法是确定初始范围,并根据项目的进展不断扩展外延。

成熟的漏洞管理项目通常包括对内部、本地和自有资产进行良好的初始范围界定。CTEM项目超越了自身缺陷,也从"攻击者的角度出发",超越了传统的常见漏洞。当试图为CTEM试点确定合适的范围时,因素包括:

  • 外部攻击面:它结合了相对狭窄的范围和一个不断成熟的工具生态系统;

  • SaaS安全态势:虽然工具的成熟度仍显不足,但远程劳动力的上涨导致在SaaS上托管更多的关键业务数据,确保风险沟通更为轻松。

未来的周期可以扩大到包括:

  • 数字风险保护,增加了攻击面的可见性;

  • 暗网资源深层网络资源的可见性,以识别对关键资产的潜在威胁,并提供关于攻击者及其恶意活动的策略和流程的背景信息。

发现识别

范围界定完成后,正确识别资产及风险状概况十分重要。应优先考虑范围界定过程中业务领域的成果。暴露面的发现成果不仅是漏洞,还可以包括资产和安全控制的错误配置及其他缺陷。

由于许多识别过程超出了最初声明的范围:识别可见和隐藏的资产、漏洞、错误配置和其他风险,所以将这部分内容转移到"优先级"步骤,在这一步骤中需要进行额外的操作"降噪“。

优先级

暴露面管理的目标并不是修复全部已识别问题,而是识别和处理最有可能被利用针对企业进行攻击的威胁因素。企业不能单纯通过预定义的基本严重性评分来对风险进行优先级排序,因为还需考虑漏洞利用的普遍性、可用控制、缓解措施和业务关键性,以反映对企业的潜在影响。更成熟的企业应该从实施和拓展漏洞管理计划中汲取经验。处理漏洞的优先次序需要基于紧迫性、严重性、补偿控制的可用性、风险偏好和风险水平进行综合考虑。

作为CTEM计划的一部分,不仅能够确定风险修复的优先次序,而且还能根据被检查系统的拓扑结构、配置、关键性来确定降低优先次序的理由。这清楚地阐明了企业将优先处理任务/业务关键型系统作为优先事项,但也要对异常或异常事件进行响应并展示改进。

验证

在安全计划的背景下,"验证"是企业验证潜在攻击者如何实际利用已确定暴露面及监制系统进行反应的过程的一部分。验证通常在生产环境中使用受控模拟或模仿攻击者的技术。

虽然不限于攻击者的技术,但"验证步骤"往往依赖于手动评估活动,如红队演习,以扩大其影响范围。在CTEM背景下,它还包括对建议处理方法的验证,不仅为了提升安全防御力,也是为了提高企业的可行性。

验证步骤需要实现的三个目标:

  • 确认攻击者确实可以利用先前发现和优先处理的暴露来评估可能的“攻击成功”。

  • 分析关键业务资产所有潜在攻击路径,评估"最大潜在影响"

  • 识别响应和修复已识别问题的过程是否足够快,以及是否足以满足业务需要。

好的验证过程需要克服挑战,需要混合技术评估的组合(例如,渗透测试、红队、破坏和攻击模拟以及攻击路径分析),同时也需要企业的较高的接受度。验证的范围不仅包括相关的威胁向量,还应包括枢纽和横向移动的可能性。同时应该高于安全控制测试,并评估程序和流程的有效性。

采取行动

修复措施不能完全自动化。许多成熟的企业处于"自动修复"的瓶颈阶段,因为技术处理往往仅限于修复、基本威胁检测规则或安全控制的配置变更。完全依赖程序中自动修复的功能将导致不可避免的失败,因为任何尝试修复的后果,都超出了安全团队的职责范畴。

  • 有一个以上的 "修复"(运行时间控制,补丁)。

  • 没有可接受的 "修复"(业务中断)

当诊断工具建议"修复"时,它不一定是最佳工具,工具或安全程序无法预测其他团队的接受范围。CTEM计划中涉及安全工具的建议方案往往是众多解决方案的某一种,建议的解决方案选择,仅基于部分可用信息。“采取行动”工作的目的是确保团队通过减少审批、实施过程和缓解部署中的繁琐过程来将CTEM的调查结果付诸实践。它要求企业定义通信标准(信息要求)和文件化的跨团队审批工作流程,同时还要求企业领导并参与其中。在更高的成熟度下,"采取行动"也需要工具的演变,以便更好地整合,使其能够为企业提供更多安全背景及技术支持。

效益和用途

CTEM计划是全面的安全和风险管理计划的一部分,与不同的时间范围和目标保持一致。

  • 在漏洞中生存:检测和响应攻击需要实时行动力。这是蓝队的责任,不属于CTEM的范畴,但可以通过从CTEM计划中获得的知识来进行补充;

  • 最小化风险:业务限制可能会阻止 "快速修复 "的实施,CTEM计划可以帮助确定降低风险行动的优先次序,并优化资源使用;

  • 提高复原力:需要长期投资和设计思维,CTEM计划可提供更全面的整体战略信息。

CTEM和安全态势优化

在最基本的形式中,CTEM计划的动员阶段触发了处理及优化过程,启动的目的是通过技术控制或请求系统补丁来进行修复。各种支持CTEM的工具通常会提出这些基本修复建议。但要做到稳妥优化安全态势需要:

1.整合CTEM项目的经验教训,以提高建议的修复方法的效率;

2.支持多场景,包括修复既复杂且无法自动化的情况。

CTEM计划中的"采取行动"步骤以所需变更的批准、承诺必要的资源和商定的时间表为结束。安全态势的优化始于将修复措施纳入规划以满足时间表。

风险

随着云服务团队的采用,安全和基础设施团队现在必须监控更多的设置和配置,如操作不当,可能会泄漏敏感数据和服务。因此,管理态势的过程涉及正确分析攻击面,识别高风险漏洞和验证业务相关重要事项的可见性及响应。

总风险超出此范围,还包括无法直接控制的因素,如合作伙伴在环境中存储数据的供应链风险(见表1)。运行CTEM循环创造了将各步骤中实践经验与未来产品的设计相结合的机会。

表1:企业直接控制外的永久性和暂时性风险暴露

改变流程,删除/隐藏可见数据,并通过修改错误配置、修复漏洞和增加控制措施来消除永久性暴露,将攻击面减少到暂时性暴露,然后可以更好地解决这个问题。

采纳率

企业通常通过以下方式拓展现有的漏洞管理计划,解决威胁暴露面问题:

  • 使用使用以工具为中心的方法

  • 添加来自外部攻击面管理(EASM)和破坏与攻击模拟(BAS)产品的结果。

  • 侧重于属于 "发现识别 "和 "优先级 "步骤的行动,采用有效但相对非结构化的方法

图3显示了各步骤的成熟度的区别,并以不同的速度发展。

图3:CTEM项目的高级成熟度模型

备选方案

企业可以基于更多零散的项目,在三个支柱上分别采取行动,采用结构化程度较低的方式来处理风险暴露管理问题,(见图4)。执行良好的项目将有助于改善企业的安全态势。

图4: 风险管理的市场视图

根据组织的规模和SOC流程的成熟度,可能会在以下每个支柱的不同成熟度级别开始:

  • 攻击面管理:从攻击者视角看,企业数字资产攻击面进行检测、研判、预警、响应和持续监控管理方法;

  • 脆弱性评估:对企业的部署的软件或具体配置进行评估,确定威胁等级和被利用的可能性;

  • 态势验证:预测攻击者对基础设施的攻击行为,以及防御系统的应对行为及过程。

最佳实践

企业实施持续威胁暴露面管理时,需要考虑一些最佳实践,以最大限度地减少威胁,并降低安全风险。

  • 设计并应用管理更广泛的暴露集合的程序,而不是简单地清点和处理来自多个不同漏洞评估工具的评估数据;

  • 确保暴露管理输出有助于企业安全管理,为安全设计提供洞察力,丰富安全事件内容提升响应效率;

  • 建立定期的可重复工作计划作为持续威胁暴露管理计划的一部分,每个周期都遵循五个步骤,从而保证一致的威胁暴露面管理结果;

  • 采用攻击面管理和安全态势验证等新兴技术应对威胁暴露面;

  • 将持续威胁暴露面管理 (CTEM) 与超越特定于安全的自动化技术修复的企业级修复和事件工作流程相辅相成,以确保所需的跨团队协作成为标准。

声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。