不管我們是否愿意接受,,有一個殘酷的現(xiàn)實必須要面對,,網(wǎng)絡(luò)安全形勢正在不斷惡化而非緩解,,網(wǎng)絡(luò)攻擊的復(fù)雜性,、多發(fā)性和危害性都在不斷打破記錄,。在此情況下,我們應(yīng)該反思:為什么之前所做的一切努力并沒有顯著改善當(dāng)前的網(wǎng)絡(luò)安全健康現(xiàn)狀,?
長期以來,,網(wǎng)絡(luò)安全行業(yè)一直在不斷強調(diào)威脅檢測和響應(yīng)的作用,但是種種跡象表明,,各種新型的網(wǎng)絡(luò)攻擊不僅沒有減少,,而且似乎根本無法阻止。當(dāng)企業(yè)投入大量的資源(時間,、金錢和人力)來發(fā)現(xiàn)正在發(fā)生或已發(fā)生的網(wǎng)絡(luò)攻擊,,又投入更多的資源去清除威脅時,新的攻擊卻隨時會突破防御并導(dǎo)致故態(tài)復(fù)萌,。在此情況下,,企業(yè)安全團隊該如何相信這種立足于檢測和響應(yīng)的安全機制會變得更好,而不是變得更糟呢,?當(dāng)一種防護模式已被多次證明無力應(yīng)對當(dāng)下的安全威脅時,,何不嘗試尋找一些其他的創(chuàng)新策略和思路呢?
是改變現(xiàn)狀時候了
主動安全防御的理念已經(jīng)被提出很多年,,但是很多安全專家和研究人員對這個想法似乎已經(jīng)不再抱有希望,,原因是由于攻擊在不斷變化,攻擊者有充分的時間和資源來設(shè)計新的攻擊策略,,以繞過防御,、逃避檢測。因此,,基于攔截攻擊這種思路所設(shè)計的主動網(wǎng)絡(luò)安全模型在實踐中表現(xiàn)的往往差強人意,,也就不足為奇了。
在此背景下,,研究機構(gòu)Gartner提出了一種基于威脅暴露面管理的主動式安全防御的落地新思路,。它并不關(guān)注攻擊事件本身,而是關(guān)注攻擊路徑,,站在攻擊者的角度去思考攻擊可能發(fā)生在哪里,,以及可能采用的攻擊戰(zhàn)術(shù)和實施手段,這個過程也叫風(fēng)險搜尋,。在識別和分析所有可能的威脅暴露點之后,,就可以根據(jù)其脆弱程度和危害程度制定威脅暴露面管理計劃,從而系統(tǒng)性地解決數(shù)字化業(yè)務(wù)系統(tǒng)的安全隱患,。因此,,在Gartner給出定義中,威脅暴露面管理并不是一種技術(shù)手段,,而是下一代安全運營的創(chuàng)新模式,。
威脅暴露面管理流程示意
大多數(shù)網(wǎng)絡(luò)攻擊都是需要入口的,,如果企業(yè)的威脅暴露面消失了,那么攻擊行動在滲透之前就已經(jīng)失敗了,。暴露面管理不是為了解決在攻擊事件發(fā)生后如何快速發(fā)現(xiàn)和應(yīng)急響應(yīng),,而是通過關(guān)閉通往敏感目標(biāo)的入侵途徑,來實現(xiàn)對其安全防護的效果,。由于企業(yè)的數(shù)字化業(yè)務(wù)和資產(chǎn)在不斷變化中,,因此對暴露面的管理工作也不是一勞永逸的,這是一種持續(xù)的方法和運營過程,,需要經(jīng)過安全專家的綜合分析,,將合適的數(shù)據(jù)和技術(shù)結(jié)合起來,對各種暴露面進行合理排序,,實現(xiàn)最優(yōu)化的防護效果,。
如果說基于威脅檢測和響應(yīng)的傳統(tǒng)網(wǎng)絡(luò)安全模型是以加強防御為導(dǎo)向,那么暴露面管理或?qū)㈩嵏矀鹘y(tǒng),,因為它強調(diào)主動出擊,,在攻擊發(fā)生前發(fā)現(xiàn)和修復(fù)暴露面,封堵可能被利用的攻擊路徑,。通過主動管理暴露面來防止攻擊發(fā)生,,這有望改變目前網(wǎng)絡(luò)安全攻防對抗中的游戲規(guī)則。
威脅暴露面管理如何實現(xiàn),?
暴露面管理的優(yōu)點顯而易見,,但其真正實現(xiàn)也并不容易,,因為做好暴露面管理工作需要安全運營團隊長期投入大量時間,、人員及其他資源,這會比大多數(shù)安全團隊真正可利用的資源多得多,。企業(yè)安全運營團隊也許能找到一些暴露面,,但卻無力實施完整的堵住計劃。他們可能會關(guān)閉幾條攻擊途徑,,但新的攻擊途徑卻在不斷產(chǎn)生,。暴露面管理會成為一個理想?yún)s不可能實現(xiàn)的概念嗎?
當(dāng)企業(yè)希望在網(wǎng)絡(luò)安全建設(shè)中顛覆傳統(tǒng)時,,也必須認真思考可行性,,并設(shè)立相關(guān)的行動標(biāo)準(zhǔn)和計劃,因為網(wǎng)絡(luò)攻擊者就是這么做的,。為了更好地將威脅暴露面管理付諸實踐,,Gartner給出了一種務(wù)實且有效的系統(tǒng)化威脅管理方法論CTEM(Continuous Threat Exposure Management),通過優(yōu)先考慮高等級的潛在威脅處置,,CTEM實現(xiàn)了不斷完善的安全態(tài)勢改進,,將“修復(fù)和態(tài)勢改進”從暴露面管理計劃中分離,,強調(diào)基于企業(yè)實際業(yè)務(wù)狀況改進安全威脅態(tài)勢的處置要求。同時,,CTEM計劃的運作有特定的時間范圍,,它遵循治理、風(fēng)險和合規(guī)性的綜合要求,,可為企業(yè)長期網(wǎng)絡(luò)安全管理戰(zhàn)略轉(zhuǎn)型提供決策支撐,。
CTEM應(yīng)用還處在不斷優(yōu)化升級過程中,因此在優(yōu)化威脅暴露管理需要考慮以下三個關(guān)鍵要素:持續(xù)實施,、系統(tǒng)框架和人工智能,。威脅暴露面管理應(yīng)該是一個持續(xù)的過程,這樣才可以保障威脅防御的效果,;利用已確立的網(wǎng)絡(luò)安全框架,,則可以充分享用最新又準(zhǔn)確的威脅情報和處置經(jīng)驗;而通過人工智能和自動化技術(shù),,能夠更有效地管理威脅暴露,、避免人為錯誤。
在實施CTEM計劃時,,企業(yè)需要讓暴露面管理評估成為一種常態(tài),,并將暴露面管理變成多層次的過程,包括如下:
風(fēng)險搜尋,,旨在隔離和預(yù)測可能存在的攻擊路徑,;
危急評估,旨在按照風(fēng)險級別和危害性對暴露面進行合理排序,;
系統(tǒng)補救,,旨在消除系統(tǒng)中存在的安全漏洞和不足;
設(shè)定目標(biāo),,旨在使網(wǎng)絡(luò)風(fēng)險管理與數(shù)字化發(fā)展目標(biāo)協(xié)同一致,。
當(dāng)以上四個方面要求得到持續(xù)整合時,企業(yè)就可以應(yīng)對不斷變化的攻擊環(huán)境中各種威脅,。CTEM方法有望能夠更好地阻止各種新型攻擊,,但也需要清楚認知,CTEM需要不同于以往的網(wǎng)絡(luò)安全專業(yè)知識支撐,。
一些創(chuàng)新的網(wǎng)絡(luò)安全服務(wù)商正在嘗試將CTEM作為一種服務(wù)來提供,,幫助企業(yè)用戶提供風(fēng)險搜尋、評估和補救,,以交付企業(yè)數(shù)字化業(yè)務(wù)發(fā)展所需的安全保障結(jié)果,,在此過程概念中,服務(wù)商需要有專業(yè)的團隊和能力來幫助企業(yè)發(fā)現(xiàn)更多的潛在被攻擊路徑,并結(jié)合時間,、人員和技術(shù),,實現(xiàn)暴露面管理。對于像暴露面管理這種高價值但資源密集型的工作,,在一定程度上選擇服務(wù)外包是非常合情合理的,,這業(yè)讓更多的企業(yè)可以利用CTEM來實現(xiàn)主動安全防護能力,從而在應(yīng)對攻擊者時占據(jù)上風(fēng),。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
