在當(dāng)前的威脅形勢(shì)下,網(wǎng)絡(luò)安全管理絕非易事,。企業(yè)網(wǎng)絡(luò)安全管理者需要尋找改進(jìn)的框架和工具來(lái)降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn),,包括從簡(jiǎn)單的安全事件處置轉(zhuǎn)變?yōu)楦墒斓?、具有檢測(cè)及響應(yīng)能力的戰(zhàn)略增強(qiáng)型預(yù)防控制?,F(xiàn)有攻擊面管理的方法無(wú)法匹配企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展速度,, CTEM(威脅暴露面管理)技術(shù)應(yīng)運(yùn)而生,。
威脅暴露面管理系統(tǒng)方法論
研究機(jī)構(gòu)Gartner認(rèn)為,,CTEM是一種更加務(wù)實(shí)且有效的系統(tǒng)化威脅管理方法論,可以大大降低組織遭到安全泄密事件的可能性,。通過(guò)優(yōu)先考慮高等級(jí)的潛在威脅處置,,CTEM實(shí)現(xiàn)了不斷完善的安全態(tài)勢(shì)改進(jìn),將“修復(fù)和態(tài)勢(shì)改進(jìn)”從暴露面管理計(jì)劃中分離,,強(qiáng)調(diào)有效改進(jìn)態(tài)勢(shì)的處置要求,。同時(shí),CTEM計(jì)劃的運(yùn)作有特定的時(shí)間范圍,,它遵循治理,、風(fēng)險(xiǎn)和合規(guī)性(GRC)的要求,可為企業(yè)長(zhǎng)期安全管理戰(zhàn)略的轉(zhuǎn)變提供決策支撐,。
研究人員同時(shí)認(rèn)為,CTEM應(yīng)用還處在不斷優(yōu)化升級(jí)過(guò)程中,,優(yōu)化威脅暴露管理需要考慮以下三個(gè)關(guān)鍵要素:持續(xù)實(shí)施,、系統(tǒng)框架和人工智能。威脅檢測(cè)和處理應(yīng)該是一個(gè)持續(xù)的過(guò)程,,這樣才可以保障威脅防御的效果,。而利用已確立的網(wǎng)絡(luò)安全框架,則可以充分享用最新又準(zhǔn)確的威脅情報(bào)和處置經(jīng)驗(yàn),。通過(guò)人工智能和自動(dòng)化技術(shù),,能夠更有效地管理威脅暴露、避免人為錯(cuò)誤,。
要點(diǎn)一 持續(xù)實(shí)施CTEM計(jì)劃
持續(xù)開展威脅暴露面管理需要包括五個(gè)周期性階段:界定范圍,、發(fā)現(xiàn)識(shí)別、確定優(yōu)先級(jí),、驗(yàn)證模擬和采取行動(dòng),,這是一個(gè)持續(xù)的動(dòng)態(tài)過(guò)程,,在CTEM項(xiàng)目實(shí)施中可能會(huì)不斷重啟這五個(gè)階段,以確保不間斷的威脅監(jiān)控與管理,。
界定范圍是開展威脅暴露管理的第一步,。該階段需要結(jié)合業(yè)務(wù)視角和安全視角,以識(shí)別和篩選關(guān)鍵業(yè)務(wù)資產(chǎn)威脅,、高價(jià)值資產(chǎn)威脅或敏感資產(chǎn)威脅,。
發(fā)現(xiàn)識(shí)別需要厘清組織的IT基礎(chǔ)架構(gòu)、網(wǎng)絡(luò),、應(yīng)用程序和敏感數(shù)據(jù)資產(chǎn),。該階段旨在發(fā)現(xiàn)錯(cuò)誤配置、漏洞和缺陷,,以便可以根據(jù)各自的風(fēng)險(xiǎn)級(jí)別進(jìn)行威脅分類,。
確定優(yōu)先級(jí)側(cè)重于評(píng)估漏洞被利用的可能性。那些最有可能被利用的漏洞將最先被修復(fù),。低優(yōu)先級(jí)漏洞的修復(fù)工作會(huì)酌情延后,,直到有足夠的資源來(lái)處置。
驗(yàn)證模擬主要針對(duì)已發(fā)現(xiàn)漏洞的測(cè)試攻擊,,以檢查現(xiàn)有的安全控制措施是否足夠有效,。該階段還用于評(píng)估響應(yīng)和補(bǔ)救機(jī)制是否足夠到位。
采取行動(dòng)是指根據(jù)驗(yàn)證階段的結(jié)果對(duì)發(fā)現(xiàn)的漏洞和風(fēng)險(xiǎn)采取糾正措施,。這常常是個(gè)人工處置的過(guò)程,,但如果各方密切合作,這個(gè)過(guò)程可以變得很順暢,。此外,,采取行動(dòng)階段生成有關(guān)CTEM流程的全面數(shù)據(jù),促進(jìn)下一個(gè)周期中的流程更高效,。
CTEM并不只是一種安全工具或產(chǎn)品,,而是一項(xiàng)系統(tǒng)性的威脅管理計(jì)劃和流程,任何組織都可以采用它來(lái)提升管理威脅暴露面的能力,。
要點(diǎn)二 充分利用成熟安全框架
網(wǎng)絡(luò)安全框架提供了一種有效的處置知識(shí)庫(kù),,可以更有效地檢測(cè)和解決威脅。它們?yōu)槿绾伪Wo(hù)數(shù)字資產(chǎn)安全提供了一套科學(xué)合理的體系和方法,。
以MITRE ATT&CK框架為例,,該框架提供了相互對(duì)照的權(quán)威信息,介紹全球的最新對(duì)抗策略和技術(shù),,包括最近發(fā)現(xiàn)的漏洞方面和攻擊者利用的信息,。該框架提供的威脅情報(bào)非常詳細(xì),不僅詳細(xì)描述了威脅,還詳細(xì)描述了威脅利用的流程,、攻擊具體實(shí)例以及它們使用的攻擊工具,。通過(guò)應(yīng)用MITRE ATT&CK框架,可以使威脅的識(shí)別和解決具有系統(tǒng)性,。
NIST網(wǎng)絡(luò)安全框架也是非常實(shí)用的資源,,它列出了管理網(wǎng)絡(luò)風(fēng)險(xiǎn)方面的標(biāo)準(zhǔn)、指南和最佳實(shí)踐,,可以在企業(yè)威脅識(shí)別,、保護(hù)、檢測(cè),、響應(yīng)和恢復(fù)五個(gè)方面指導(dǎo)企業(yè)進(jìn)行風(fēng)險(xiǎn)管理,。
此外,還有ISO/IEC 27001,,它被認(rèn)為是國(guó)際性網(wǎng)絡(luò)安全標(biāo)準(zhǔn),,可以幫助組織應(yīng)對(duì)常見的安全威脅。它需要對(duì)信息安全威脅進(jìn)行系統(tǒng)化管理,,要求組織設(shè)計(jì)和實(shí)施信息安全策略,,并采用持續(xù)的風(fēng)險(xiǎn)管理流程。
要點(diǎn)三 充分利用人工智能技術(shù)
網(wǎng)絡(luò)犯罪分子已經(jīng)在使用人工智能發(fā)起或?qū)嵤┕?,不緊跟形勢(shì)是不合邏輯的,。當(dāng)層出不窮的攻擊讓網(wǎng)絡(luò)分析師手忙腳亂、疲于應(yīng)對(duì)時(shí),,更有必要采用自動(dòng)化和基于機(jī)器學(xué)習(xí)的解決方案,。組織使用的多種安全控制措施生成大量的安全數(shù)據(jù)、警報(bào)和安全事件報(bào)告,,緊靠分析師人工處理是難以滿足要求的,,必須有一種方法可以自動(dòng)處理相對(duì)簡(jiǎn)單問(wèn)題方面的警報(bào),并標(biāo)記出復(fù)雜的安全問(wèn)題,,供分析師人工評(píng)估,。
目前,人工智能和自動(dòng)化在檢測(cè)和管理威脅方面起到了重要作用,。人工智能經(jīng)過(guò)訓(xùn)練后,可以迅速檢測(cè)惡意軟件或惡意網(wǎng)絡(luò)活動(dòng),,不僅基于威脅身份來(lái)檢測(cè),,還基于行為模式來(lái)檢測(cè)。甚至可以開發(fā)預(yù)測(cè)智能來(lái)預(yù)測(cè)潛在攻擊,。
此外,,人工智能和自動(dòng)化技術(shù)在對(duì)抗惡意機(jī)器人程序(bot)攻擊方面非常有效。惡意機(jī)器人程序攻擊已經(jīng)在互聯(lián)網(wǎng)流量中占據(jù)很大的比例,它們不斷尋找漏洞和攻擊機(jī)會(huì),,從而構(gòu)成嚴(yán)重風(fēng)險(xiǎn),。人工智能系統(tǒng)可用于檢測(cè)機(jī)器人程序活動(dòng),其與人類行為區(qū)分開來(lái),,同時(shí)還可以準(zhǔn)確識(shí)別非惡意的機(jī)器人程序行為,,比如搜索引擎爬蟲、版權(quán)機(jī)器人程序,、聊天機(jī)器人程序,、新聞源機(jī)器人程序和網(wǎng)站監(jiān)控服務(wù)等應(yīng)用。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<
