7月23日,,Gartner發(fā)布《Hype Cycle for Security Operations, 2021》(2021安全運營技術成熟度曲線),,對主流的安全運營技術進行了解讀,,預測創(chuàng)新技術的發(fā)展階段,,為組織的安全和風險管理負責人提供參考,并幫助其更有效的制定組織的網(wǎng)絡安全發(fā)展策略,。相較于2020年,,數(shù)字化轉型加速了企業(yè)與IT信息技術的關聯(lián)。由于疫情,,遠程工作,、移動設備的使用和云服務顯著增加,促使企業(yè)運作方式的重大變革,,但也同時給企業(yè)帶來了更多的安全威脅和風險,因此安全運營技術已經(jīng)成為了企業(yè)關注的重點方向,。
成熟度曲線&優(yōu)先級矩陣
技術成熟度曲線(The Hype Cycle),,又稱技術循環(huán)曲線,指的是企業(yè)用來評估新科技的可見度,,利用時間軸與市面上的可見度,,決定是否采用新科技的一種工具。1995年開始,,Gartner依其專業(yè)分析預測與推論各種新科技的成熟演變速度及要達到成熟所需的時間,,具體可分為:技術萌芽期、期望膨脹期,、泡沫破裂谷底期,、穩(wěn)步爬升復蘇期、生產(chǎn)成熟期5個階段,。在2021年報告中,,萌芽階段包括自主滲透測試和紅隊服務、外部攻擊面管理(EASM),、網(wǎng)絡資產(chǎn)攻擊面管理(CASSM),、滲透測試即服務(PTaaS)、擴展檢測和響應(XDR)技術,;膨脹階段包括數(shù)字風險保護服務(DRPS),、漏洞優(yōu)先排序(VPT),、文件分析技術(FA)、托管檢測和響應 (MDR) 服務,、威脅情報(TI)服務,、網(wǎng)絡威脅檢測及響應(NDR)、 運營系統(tǒng)(OT)安全技術,;破裂階段包括集成化的風險管理(IRM),、安全編排自動化響應(SOAR)、欺騙平臺(DP),、入侵與攻擊模擬(BAS)技術,;復蘇期包括端點檢測與響應技術(EDR)、基于硬件的安全技術,、安全信息和事件管理(SIEM),、云訪問安全代理(CASB)技術;成熟期包括漏洞評估技術(VA)技術,。
圖1 2021年安全運營成熟度技術曲線
?。ㄗⅲ簷M軸為“時間”,表示一項技術隨時間發(fā)展經(jīng)歷各個階段,,縱軸是“預期”,。)
表1:2021年安全行動的優(yōu)先權矩陣
(注:在優(yōu)先級矩陣中,,縱軸為技術的潛在效益,;橫軸是按照距成熟采用期年數(shù)劃分計劃的,該年數(shù)與技術成熟度曲線上所用的評估相同,。)
本文著眼于安全運營技術成熟度曲線的前兩個階段,,從20多個技術點中,節(jié)選了歸屬萌芽期的外部攻擊面管理(EASM),、網(wǎng)絡資產(chǎn)攻擊面管理(CASSM)技術和擴展檢測和響應(XDR)技術與歸屬膨脹期的入侵與攻擊模擬(BAS)漏洞優(yōu)先排序技術(VPT)5個新興技術點進行了解析,。
1
外部攻擊面管理(EASM)
定義
外部攻擊面管理(EASM)是指為發(fā)現(xiàn)面向互聯(lián)網(wǎng)的企業(yè)資產(chǎn)和系統(tǒng)及相關漏洞而部署的流程、技術和管理服務,。示例包括服務器,、憑證、公共云服務的錯誤配置和第三方合作伙伴的軟件代碼漏洞,,這些漏洞可能會被對手利用,。
關注原因
雖然EASM通過產(chǎn)品疊加提供數(shù)字風險保護服務(DRPS)、威脅情報,、第三方風險評估和漏洞評估等能力,,但供應商提供的能力方向各有不同,需要重點關注市場需求,,并在全球范圍內(nèi)進行擴張,。
五個重要能力
監(jiān)測:持續(xù)掃描各種環(huán)境(如云服務和面向外部的企業(yè)內(nèi)部基礎設施)和分布式生態(tài)系統(tǒng)(如物聯(lián)網(wǎng)基礎設施),;
資產(chǎn)發(fā)現(xiàn):發(fā)現(xiàn)和清點企業(yè)未知的面向外部的資產(chǎn)和系統(tǒng);
分析:評估和分析資產(chǎn)屬性,,確定資產(chǎn)是否存在風險,、脆弱性或異常行為;
優(yōu)先排序:對風險和漏洞進行優(yōu)先排序,,并根據(jù)優(yōu)先排序分析提供預警和優(yōu)先級分析,;
修復:提供優(yōu)先緩解措施的實施計劃,以及修復緩解工作流程,,并集成像工單系統(tǒng),、事件響應工具、安全編排自動化響應(SOAR)等解決方案,。
EASM幫助識別未知資產(chǎn),,并提供系統(tǒng)、云服務和應用程序等對攻擊者/在公共領域內(nèi)攻擊者可用和可見的信息,。
業(yè)務影響
EASM支持企業(yè)識別來已知和未知的面向互聯(lián)網(wǎng)的資產(chǎn)和系統(tǒng)的風險,。安全領導可以使用EASM的功能來了解和管理來自其數(shù)字業(yè)務的風險,因為它提供了寶貴的背景信息和可操作的信息,。
資產(chǎn)的識別及清點:識別未知的數(shù)字資產(chǎn)(如網(wǎng)站,、IP、域名,、SSL證書和云服務),,并實時維護資產(chǎn)列表。這種可見性也可以擴展到企業(yè)的子公司或第三方,。
漏洞修復及暴露面管控:將錯誤配置、開放端口和未修復漏洞根據(jù)緊急程度,、嚴重性來進行風險等級分析以確定修復優(yōu)先次序,。
驅(qū)動因素
數(shù)字化業(yè)務舉措:如轉向云基礎設施和平臺服務以及SaaS,遠程工作,,采用物聯(lián)網(wǎng)(IoT)技術,,以及IT和運營系統(tǒng)(OT)融合,是目前出現(xiàn)新安全要求的一些關鍵領域,;
在這些情況下,,EASM工具正在被廣泛應用;
這些工具幫助安全專業(yè)人員了解并減少對互聯(lián)網(wǎng)和公共領域的不必要的暴露風險,,以優(yōu)先考慮需要補救的關鍵暴露面,。
阻礙因素
安全和風險管理的領導者應該意識到,隨著EASM受益于擴大的可見性,,在中短期并購中存在著切實的風險,,這可能會影響到初創(chuàng)公司對該領域的投資,;
為了充分受益于EASM解決方案的能力,安全和風險管理(SRM)領導者將被要求能夠在多個領域(如IT資產(chǎn)管理,、云管理,、漏洞管理等)利用它們,而不僅僅是安全,,并具有一定程度的成熟度和資源,,如專用或?qū)I(yè)人員。
建議
審查工具供應商的EASM能力,,如DRPS或漏洞評估,;
審查供應商的能力,如覆蓋范圍(識別),、準確性(歸屬)和支持修復的自動化水平,;
根據(jù)公認的用例優(yōu)先級選擇EASM服務提供商,但也要為可能延伸到DRPS用例的長期要求進行規(guī)劃,;
評估安全組織在技能,、資源和成熟度方面的準備程度,確保擁有適當?shù)馁Y源以充分受益于EASM能力,。
2
網(wǎng)絡資產(chǎn)攻擊面管理(CASSM)
定義
網(wǎng)絡資產(chǎn)攻擊面管理(CAASM)是一項新興技術,,專注于幫助安全團隊解決持續(xù)的資產(chǎn)可見性和漏洞挑戰(zhàn)。使企業(yè)能夠通過與現(xiàn)有工具的API集成,,識別內(nèi)外部資產(chǎn),,查詢綜合數(shù)據(jù),確定漏洞的范圍與安全控制的差距,,并進行修復,。
關注原因
CAASM超越了專注于資產(chǎn)子集(如端點、服務器,、設備或應用程序)產(chǎn)品的有限范圍,。通過將資源整合到資源庫,使用戶可以查詢到EASM和端點檢測與響應(EDR)工具的覆蓋范圍的差距,。CAASM通過使用應用程序編程接口(API)集成提供被動的數(shù)據(jù)收集,,取代手動和低效的過程來收集和分析資產(chǎn)信息。
業(yè)務影響
CAASM使安全團隊能夠通過整體環(huán)境的安全控制,、安全態(tài)勢和資產(chǎn)風險的修復和處置來改善基本的安全狀況,。部署CAASM的企業(yè)可以減少對自身系統(tǒng)和手動收集過程的依賴,并通過手動或自動化流程修復漏洞,。此外,,這些可以直觀地看到安全工具的覆蓋情況,并糾正修復陳舊或缺失數(shù)據(jù)的原始記錄系統(tǒng),。
驅(qū)動因素
提高資產(chǎn)可見性,,了解攻擊面和現(xiàn)有的安全控制的差距,;
通過更準確和全面的資產(chǎn)和安全控制報告,快速的審計合規(guī)性報告,;
整合現(xiàn)有產(chǎn)品資產(chǎn)信息,,減少手動流程和本地應用程序的依賴;
授權企業(yè)架構師,、漏洞管理團隊和IT管理員等團隊訪問綜合資產(chǎn)視圖,,從查看和查詢綜合資產(chǎn)清單中受益;
降低收集數(shù)據(jù)的阻力,,獲取數(shù)據(jù)安全可視性(從影子IT,、已安裝的第三方系統(tǒng)等)。
阻礙因素
對 “另一個”工具的抵制,,擁有提供資產(chǎn)可視性產(chǎn)品的企業(yè)面臨挑戰(zhàn),,難以證明增加CAASM的成本和理由;
產(chǎn)品按資產(chǎn)數(shù)量進行授權,,對于管理著數(shù)百萬資產(chǎn)的大型機構來說,,成本過高;
單個實例的可擴展性可能會受到限制,,無論是數(shù)據(jù)收集還是工具的可用性,,都有過多的數(shù)據(jù)點;
缺乏CAASM集成的工具(例如,,缺乏API),,擁有現(xiàn)有工具的團隊會阻礙能力集成。
發(fā)現(xiàn)錯誤時不允許對原始記錄系統(tǒng)進行糾正,,與原始系統(tǒng)相沖突的調(diào)節(jié)過程會出現(xiàn)混亂,。
建議
利用 POC或在購買產(chǎn)品前試用免費版本。產(chǎn)品易于部署,,從而降低了購買 CAASM 產(chǎn)品然后需要將其淘汰或更換為其他供應商的風險,。
確定需要CAASM解決的主要用例,如實現(xiàn)更全面的資產(chǎn)可視性,、自動修復安全漏洞,、更新記錄或減輕合規(guī)報告的負擔,;
盤點可與CAASM產(chǎn)品集成的可用API,,并確保有可用的賬戶進行集成;
拓展使用范圍,,從核心安全團隊擴展至多用戶(包括合規(guī)團隊,、威脅捕獵、漏洞管理團隊和系統(tǒng)管理員),;
詢問現(xiàn)有的安全供應商,,了解他們目前提供的資產(chǎn)可見性,,以及他們是否有在未來提供 CAASM 功能的路線圖。
3
擴展檢測和響應(XDR)
定義
XDR是一種針對供應商的威脅檢測和事件響應工具,,它將多種安全產(chǎn)品統(tǒng)一到安全操作系統(tǒng)中,。主要功能包括安全分析、關聯(lián)告警,、事件響應和響應自動化,。
關注原因
XDR在功能上與SIEM以及SOAR相似。然而,,XDR的區(qū)別在于其集成和自動化程度,、易用性以及對威脅檢測和事件響應的關注。XDR解決方案供應商還必須直接提供多種安全控制,,如EDR,、云訪問安全代理(CASB)、防火墻,、身份識別與訪問管理(IAM),、入侵檢測系統(tǒng)(IDS)等。
業(yè)務影響
XDR產(chǎn)品可以降低管理安全事件的總成本,,提高事件響應團隊的生產(chǎn)力,,并降低組織的整體網(wǎng)絡安全風險態(tài)勢。
驅(qū)動因素
中型企業(yè)正在努力解決由不同安全組件產(chǎn)生的警報,。雖然現(xiàn)有的SIEM和SOAR工具可以提供類似的功能,,但這些工具的成本、復雜性和持續(xù)維護對中型企業(yè)來說都太高,。集成和維護最佳安全工具組合所需的人員和技能太高,。XDR工具主要由擁有基礎設施保護產(chǎn)品組合的安全解決方案供應商銷售,如EDR,、CASB,、安全Web網(wǎng)關(SWG)、安全電子郵件網(wǎng)關(SEG)和網(wǎng)絡威脅檢測及響應(NDR),。更高級的XDR工具通過與身份,、數(shù)據(jù)保護和應用訪問的整合,將重點放在了堆棧上,,以保護和應用訪問,。
阻礙因素
只有一小部分供應商能夠真正提供XDR產(chǎn)品。致力于XDR方法可能導致對單一供應商的過度依賴,。能夠提供XDR產(chǎn)品的大型供應商在解決新威脅方面的執(zhí)行速度往往比最佳初創(chuàng)公司慢得多,。所有的XDR工具都需要與其他供應商的安全產(chǎn)品進行一些整合,但大多數(shù)XDR產(chǎn)品的整合度仍然很低。安全產(chǎn)品的功效仍然是一個重要的因素,,組合中的一些解決方案可能不如同類競爭產(chǎn)品有效,。此外,還存在對XDR供應商提供的威脅情報和檢測內(nèi)容的單一來源的潛在依賴性,。XDR工具可降低但不能消除對操作員技能和7*24小時全天監(jiān)控的需求,。XDR和SIEM產(chǎn)品之間的一個主要區(qū)別是:XDR不能滿足事件響應以外用例的(如合規(guī)性或運營)長期日志存儲需求。
建議
與利益相關者合作,,評估XDR戰(zhàn)略合理性,;
決策標準基于人員配置和生產(chǎn)力水平、IT的聯(lián)合水平,、風險容忍度和安全預算,,以及對單一供應商綁定的容忍度,以及現(xiàn)有XDR組件工具的存在,。
制定符合XDR戰(zhàn)略的內(nèi)部架構和采購政策,;
根據(jù)長期XDR架構戰(zhàn)略來規(guī)劃未來的安全采購和技術迭代;
尋求提供 API 的安全產(chǎn)品廠商,,以便與 XDR 進行信息共享和自動化,。
4
入侵與攻擊模擬(BAS)
定義
入侵和攻擊模擬(BAS)技術使企業(yè)能夠持續(xù)不斷地模擬針對企業(yè)資產(chǎn)的多種攻擊載體。BAS可以測試威脅載體,,如外部和內(nèi)部人員,、橫向移動和數(shù)據(jù)外傳泄漏。BAS的部署利用了軟件代理,、虛擬機,、云平臺和其他手段來運行模擬。雖然有相似之處,,但它不能完全取代紅隊服務或滲透測試,。
關注原因
BAS市場正在增長,有兩個主要的用例:安全控制驗證和安全態(tài)勢評估,。BAS技術的主要優(yōu)勢包括提供連續(xù)和一致的安全控制測試的能力,,以及在確定補救行動的優(yōu)先次序以改善防御方面提供的幫助。
業(yè)務影響
BAS允許企業(yè)自動運行持續(xù)的安全評估,,對企業(yè)資產(chǎn)的更大比例和更頻繁地進行評估,。BAS不斷增加新的威脅模擬,擴大其功能的范圍和深度,。
驅(qū)動因素
BAS最常見的使用情況是自動測試和評估公司的安全狀況,。擁有成熟安全計劃的大型企業(yè)主要使用這些技術來確保一致的防御,并測試其現(xiàn)有安全控制的配置差距和/或缺少的安全可視性,。
周度或者日度測試用于通知IT和業(yè)務利益相關者關于安全態(tài)勢中的現(xiàn)有差距,,或驗證安全基礎設施,、配置設置和檢測/預防技術是否按預期運行,。當作為紅隊或滲透測試演習的補充時,,BAS也可用于驗證安全操作中心的工作人員是否能檢測到特定的攻擊。
阻礙因素
為了發(fā)展成為一個市場,,BAS供應商不僅需要來自安全運營中心,、應用程序和網(wǎng)絡運營等團隊的內(nèi)部支持,驗證洞察力的質(zhì)量,,而且還需要通過標準框架擴大診斷和基本修復指導,。
BAS供應商必須克服部署和維護方面的挑戰(zhàn),并繼續(xù)在相鄰市場上實現(xiàn)差異化,。大型企業(yè)已經(jīng)擁有太多的檢測方法從審計,、漏洞管理、應用安全測試到滲透測試等,。BAS不能只是簡單地增加數(shù)量,,而是要為現(xiàn)有的安全評估提供指導方向并豐富現(xiàn)有的安全評估。
建議
評估BAS技術,,準確,、安全模擬組織面臨威脅的真實攻擊能力;
對公司的用例進行優(yōu)先排序,,據(jù)用例評估BAS供應商的能力,,確定可改善安全風險評估、威脅監(jiān)控和漏洞管理實踐的BAS技術,;
評估供應商可提供的攻擊場景的數(shù)量,,模擬的更新頻率,以反映真實攻擊,;
與審計員合作,,確定BAS技術是否可用來驗證現(xiàn)有安全控制的有效性;
確保BAS產(chǎn)品提供的結果是優(yōu)先,、可操作的,、并可直接應用于響應計劃。
5
漏洞優(yōu)先排序技術(VPT)
定義
漏洞優(yōu)先排序技術(VPT)通過集中精力識別對組織構成最大風險的漏洞并進行優(yōu)先排序,,簡化了漏洞分析和修復/緩解過程,。該方法考慮了漏洞的可利用性、資產(chǎn)或業(yè)務的關鍵性,、漏洞的嚴重性和現(xiàn)有的補償控制措施,。
關注原因
VPT支持基于風險的漏洞管理方法(RBVM)。這類產(chǎn)品和服務利用來自漏洞評估(VA)工具,、配置管理數(shù)據(jù)庫(CMDB)的遙測數(shù)據(jù)—盡管擁有CMDB并不是使用VPT的要求—以及應用安全測試(AST),。VPT 通過利用分析和各種威脅和漏洞情報來源增加了一層情報。
業(yè)務影響
VPT解決方案可以被認為是一種自動化的形式,它帶來了高級分析技術和漏洞情報,,以減少執(zhí)行人工RBVM的人力資源需求,。全球安全事件和漏洞數(shù)量的持續(xù)上升促使許多組織采用VPT解決方案來實施高效的漏洞管理計劃。事件的增加也導致VA供應商更傾向于RBVM方法,。
驅(qū)動因素
VPT市場繼續(xù)快速增長,。VPT能識別組織更多的實際風險,并幫助優(yōu)先修復漏洞,。無論是通過修復(如打補?。┻€是補償控制(如入侵防御系統(tǒng)[IPS]和網(wǎng)絡應用程序防火墻[WAF])。
此外,,該解決方案還可以節(jié)省全職員工(FTE)的運營成本,,減少組織的攻擊面,防止漏洞被利用,。
RBVM是一個迭代的過程,,由技術(如VA和VPT)支撐,并觸發(fā)其他流程,,如IT運營執(zhí)行補丁管理,。此外,執(zhí)行手動RBVM具有挑戰(zhàn)性,,它需要智能和自動化以成功實施流程,。因為需要考慮利用和業(yè)務關鍵性以反映組織的真實情況,企業(yè)無法通過預先定義的通用漏洞評分系統(tǒng)分數(shù)的傳統(tǒng)方法來進行漏洞排序,。在VPT的情況下,,這些解決方案在當前威脅環(huán)境的背景下對漏洞進行分析。例如,,由于漏洞的公開可利用性,,低危漏洞隨時可而轉化為高危漏洞,而CVSS的分數(shù)仍保持不變,。
阻礙因素
VPT解決方案通常由漏洞管理成熟度較高的組織利用,,在基本的漏洞管理流程到位之前不應使用。如果漏洞管理(VM)程序中的流程被破壞,,VPT將無法發(fā)揮作用,。
VM是信息安全操作的基礎部分。然而,,根據(jù)嚴重程度評分來確定漏洞的優(yōu)先級,,會導致基于單一指標的響應。這種指標驅(qū)動的輸出很少基于風險,,因為沒有考慮威脅活動和資產(chǎn)環(huán)境等因素,。
VM 的運用勢不可擋,,因為有大量漏洞出現(xiàn)在報告中,增加了其他業(yè)務部門的和安全團隊的矛盾沖突,。
建議
實施基于風險的方法,,將資產(chǎn)價值關聯(lián)起來,利用VPT解決方案計算出風險等級,。在確定補救活動的優(yōu)先次序時,這可以減少被破壞的風險,。
用獨立的VPT解決方案增強VA工具,,以更好地確定優(yōu)先次序,或使用現(xiàn)有的VPT功能,,協(xié)助有效的方法來減少實際風險,。這可以實現(xiàn)供應商的整合,并在新的培訓和工具部署上投入更少的精力,。
識別具有修補功能和SOAR集成的供應商,。這使安全團隊控制了工作流程。評估這種方法是否合適,。如果是的話,,利用修復工作流程自動化,避免使用兩個不同的工具,。
利用內(nèi)部安全控制的背景,,部署VPT解決方案,使現(xiàn)有的安全投資最大化,。但這種能力在整個市場上還不成熟,。
選擇VPT解決方案,從多個來源匯總漏洞數(shù)據(jù),,以呈現(xiàn)面向行動的指標,。
