信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全牛”。

隨著數(shù)字化轉(zhuǎn)型的深入發(fā)展，網(wǎng)絡(luò)安全工作已經(jīng)得到企業(yè)組織的高度重視。但是在很多企業(yè)中，還是將安全建設(shè)的重心放在如何響應(yīng)和處置已經(jīng)發(fā)生的安全事件上，這樣的防護(hù)模式并不能減少企業(yè)未來(lái)面對(duì)的安全風(fēng)險(xiǎn)。在此背景下，研究機(jī)構(gòu)Gartner提出，企業(yè)組織應(yīng)該將網(wǎng)絡(luò)安全工作的重心從被動(dòng)事件響應(yīng)轉(zhuǎn)向主動(dòng)威脅管理。

Gartner副總裁級(jí)分析師Jeremy D’Hoinne認(rèn)為，通過(guò)鼓勵(lì)安全團(tuán)隊(duì)采用主動(dòng)的風(fēng)險(xiǎn)管理心態(tài)，將會(huì)有效改善企業(yè)內(nèi)、外部的安全態(tài)勢(shì)，并可為企業(yè)長(zhǎng)期安全管理戰(zhàn)略的轉(zhuǎn)變提供決策支撐。因?yàn)橹鲃?dòng)威脅管理并不關(guān)注攻擊事件本身，而是關(guān)注攻擊路徑，站在攻擊者的角度去思考攻擊可能發(fā)生在哪里，以及可能采用的攻擊戰(zhàn)術(shù)和實(shí)施手段。為了實(shí)現(xiàn)主動(dòng)威脅管理的防護(hù)目標(biāo)，組織需要完成以下五個(gè)關(guān)鍵步驟。

步驟1：界定組織的攻擊面

云計(jì)算的快速應(yīng)用，及遠(yuǎn)程辦公方式的興起，直接導(dǎo)致現(xiàn)代企業(yè)組織的網(wǎng)絡(luò)攻擊面迅速擴(kuò)大，并導(dǎo)致聯(lián)網(wǎng)架構(gòu)出現(xiàn)越來(lái)越多的盲點(diǎn)。因此，要實(shí)現(xiàn)有效的網(wǎng)絡(luò)威脅主動(dòng)管理，首先要從界定組織的攻擊面做起，全面跟蹤數(shù)字化環(huán)境中所有變化的因素并及時(shí)清點(diǎn)數(shù)字化資產(chǎn)。界定攻擊面的最終目的是，確保組織中沒(méi)有暴露的資產(chǎn)未受監(jiān)控，最大限度地消除安全盲點(diǎn)。

步驟2：持續(xù)進(jìn)行資產(chǎn)發(fā)現(xiàn)

為了準(zhǔn)確識(shí)別和界定攻擊面，組織需要通過(guò)探測(cè)互聯(lián)網(wǎng)數(shù)據(jù)集和證書數(shù)據(jù)庫(kù)，或模擬攻擊者的入侵方式，全面分析組織的數(shù)字資產(chǎn)，并針對(duì)所發(fā)現(xiàn)的安全缺口，尋找實(shí)用的應(yīng)對(duì)方法。很多組織會(huì)將界定攻擊面和資產(chǎn)發(fā)現(xiàn)相混淆，已發(fā)現(xiàn)的資產(chǎn)和漏洞的數(shù)量本身并不代表成功，基于業(yè)務(wù)風(fēng)險(xiǎn)和潛在影響準(zhǔn)確地識(shí)別未知資產(chǎn)和新增資產(chǎn)對(duì)企業(yè)更加重要。做好主動(dòng)威脅管理的基礎(chǔ)是要持續(xù)量化資產(chǎn)暴露面和風(fēng)險(xiǎn)問(wèn)題，并且提供針對(duì)性的治理。

步驟3：評(píng)估威脅優(yōu)先級(jí)

盡管企業(yè)暴露的IT資產(chǎn)很多，但并不是所有的資產(chǎn)漏洞黑客都會(huì)感興趣。攻擊者通常會(huì)從一個(gè)最容易被利用的弱點(diǎn)切入，進(jìn)而攻破重要系統(tǒng)，造成數(shù)據(jù)篡改、信息泄露、病毒勒索等安全事件的發(fā)生。對(duì)網(wǎng)絡(luò)威脅進(jìn)行優(yōu)先級(jí)評(píng)估的目的不是為了解決資產(chǎn)上的每一個(gè)安全問(wèn)題，而是要將有限的資源和精力，優(yōu)先投入到防護(hù)最緊急的威脅。優(yōu)先級(jí)的確定應(yīng)該考慮以下因素：

●威脅的緊迫感；

●威脅的嚴(yán)重性與破壞性；

●相應(yīng)安全控制措施的可用性；

●對(duì)相關(guān)威脅風(fēng)險(xiǎn)的容忍度；

●企業(yè)面臨的風(fēng)險(xiǎn)等級(jí)。

步驟4：開(kāi)展有效性驗(yàn)證

根據(jù)Gartner的定義，在主動(dòng)威脅管理的要求中，會(huì)明確涉及威脅有效性驗(yàn)證的要求，因此企業(yè)的安全團(tuán)隊(duì)不能只聚焦于識(shí)別發(fā)現(xiàn)和評(píng)估通知的能力，同樣應(yīng)當(dāng)具備攻擊有效性驗(yàn)證核查以及收斂攻擊面的能力。從技術(shù)角度，融合驗(yàn)證收斂能夠提升識(shí)別驗(yàn)證與處置的效果，防止大范圍誤報(bào)、海量告警無(wú)從處理的情況發(fā)生。從管理角度，開(kāi)展攻擊有效性驗(yàn)證也保證了流程的閉環(huán)，避免只告警待整改、不整改的情況發(fā)生。

實(shí)踐表明，攻擊驗(yàn)證應(yīng)當(dāng)整合平臺(tái)自動(dòng)化驗(yàn)證以及安全服務(wù)涉及的專家驗(yàn)證，其中自動(dòng)化驗(yàn)證能夠盡速縮減驗(yàn)證范圍，提升人員驗(yàn)證的效率；而專家驗(yàn)證可以基于自動(dòng)化驗(yàn)證結(jié)果，也可基于專門場(chǎng)景。

步驟5：實(shí)施完善的威脅管理計(jì)劃

主動(dòng)威脅管理是一種更加務(wù)實(shí)且有效的系統(tǒng)化威脅管理方法，可以有效降低組織遭受網(wǎng)絡(luò)安全攻擊的可能性。通過(guò)優(yōu)先考慮高等級(jí)的潛在威脅處置，CTEM實(shí)現(xiàn)了不斷完善的安全態(tài)勢(shì)改進(jìn)，同時(shí)還強(qiáng)調(diào)有效改進(jìn)安全態(tài)勢(shì)的處置要求。主動(dòng)威脅管理工作的開(kāi)展需要一套完善的實(shí)施計(jì)劃，并遵循治理、風(fēng)險(xiǎn)和合規(guī)性（GRC）的要求。

在實(shí)施主動(dòng)威脅管理計(jì)劃時(shí)，雖然自動(dòng)化技術(shù)有助于解決一些明顯或不明顯的問(wèn)題，但企業(yè)不能完全依賴它。企業(yè)應(yīng)該將主動(dòng)威脅管理計(jì)劃傳達(dá)給安全團(tuán)隊(duì)所有成員和其它部門的利益相關(guān)者，確保大家都已充分了解。實(shí)施完善的威脅管理接話，可以減少審批、實(shí)施過(guò)程或緩解部署等方面的障礙，確保團(tuán)隊(duì)將主動(dòng)威脅管理中發(fā)現(xiàn)的問(wèn)題及應(yīng)對(duì)措施諸實(shí)施，并將跨團(tuán)隊(duì)的協(xié)同工作完整記錄。