从研究人员近些年的调查结果来看,威胁攻击者目前非常善于识别和利用最具有成本效益的网络入侵方法,这就凸显出了企业实施资产识别并了解其资产与整个资产相关的安全态势的迫切需要。
目前来看,为了在如此复杂的网络环境中受到最小程度上的网络威胁,企业不应问 "我们暴露了吗?"而应问 "我们暴露的程度如何?要了解这个问题,企业必须实施一种程序化和可重复的方法,将自己想象成威胁攻击者,从敌对的角度看待自己的网络防御系统。
网络安全暴露的现状
威胁者发动网络攻击可能会瞄准企业任何可能存在漏洞的地方。因此,企业需要实施多种安全控制、工具和流程来保护内部的网络系统。
目前来看,企业的安全工作经常被分割渗透测试、威胁情报管理和漏洞扫描等成不同部分。但是不幸的是,从以往的网络攻击案例来看,这种分割方法对企业所面临的各种网络风险的洞察力极其有限。在这样的背景下,再加上缺乏全面的风险优先级排序,使得企业在面临安全挑战时会显得不知所措,无法充分指导企业首先应该解决哪些问题。
因此,企业需要一种系统性且一致的策略来衡量其面临的安全风险,这就需要将重点转移到思考威胁攻击者有哪些攻击途径上去,并在发生网络攻击时不断"评估"防御措施和响应计划。
此外,企业了解威胁攻击者的"动态"对于准确定位安全漏洞、告知安全团队应首先在哪些方面应用安全措施以及有必要采取哪些额外的安全控制措施至关重要。(从威胁攻击者的角度识别安全漏洞,能让企业主动提升安全态势)
企业得攻击面不断扩大
目前,大多数企业的 IT 生态系统包括从内部员工的身份,工作平台以及云服务等,包含了各种各样的数据资产,每种资产都可能因安全漏洞和错误配置而暴露。这些安全漏洞和错误配置可能被威胁攻击者用来破坏组织的运营和数据资产。
混合环境中,这一挑战更为严峻,因为混合环境融合了云和内部资产,再加上没有明确的边界,大大降低了可见性和控制力。可见,随着企业的发展,其攻击面必然会随着新的互联资产的整合而扩大,从而增加了复杂性。
值得注意的是,外部威胁环境的不确定性使这种扩展变得更加复杂,新兴威胁(包括由人工智能驱动的威胁)不断改变着外部威胁环境,"影子 IT"也会大大增加了这种复杂性,这样就会大大增加了业务风险、合规风险,使得安全管理变得更加复杂。
由此可见,企业数据资产的相互关联性以及不断发展的安全威胁,给安全管理员有效管理组织的安全态势带来了巨大挑战。如果每个安全漏洞不加以解决,都可能成为通向更多资产或数据的通道,为威胁攻击者创造潜在的利用途径。
企业需要搞清楚攻击面
威胁攻击者利用常见的安全漏洞、泄密凭证或配置错误的安全设置"穿越"受害者网络并访问企业资产的攻击途径是一种重大威胁,这些途径往往隐藏在复杂的网络生态系统中。因此,安全团队往往无法全面了解企业所面临的潜在安全威胁,从而对可能导致勒索软件部署的混合攻击准备不足。
许多企业往往会主动提升内部的安全态势以抵御勒索软件等高风险威胁,这就好比在不断扩大的资产库存中修补安全漏洞,注定是一场无休止的"战斗"。归根结底,由于缺乏对优先级和风险的范围和理解,再加上大量漏洞的出现,使得企业在风险暴露方面有太多事情要做,而在首先采取什么行动方面却几乎没有指导。因此,企业需要一种方法来解决 "我们是如何暴露的 "这一问题。
什么是安全风险攻击面管理?
一个企业不可能对其运营的方方面面都能够提供最好的安全防护。因此,需要优先保护关键领域,在最需要的地方简化安全工作。
通过调整优先级,企业可以解决三个关键问题:
从威胁攻击者的角度来看,我的组织是什么样的?
我的组织中哪些部分最容易受到攻击?
如果攻击者设法破坏了这些攻击路径,会产生什么影响?
通过回答这三个问题,安全团队可以更好地确定工作量的轻重缓急,并立即解决关键的安全风险。
攻击管理侧重于优化安全措施,以更好地防范威胁,其主要目标是紧急突出和强化组织的最脆弱点。这一过程对于确定优先级至关重要,当企业搞清楚遵守每项政策或衡量每项指标都不切实际时,就需要把防御重点转移到封堵威胁攻击者的潜在切入点上。
攻击面管理往往从评估外部安全状况开始,主要包括模拟威胁攻击者针对组织的潜在行动(攻防演练),这种方法的主要好处之一是揭示了可能被利用的攻击载体,使企业能够先发制人地解决薄弱环节。特别是在资源紧张的情况下,这一点尤为重要。
参考文章:
https://www.helpnetsecurity.com/2024/04/09/organizations-exposure-management/