信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

多年來，漏洞管理一直是網(wǎng)絡(luò)安全領(lǐng)域的主要手段，旨在不斷識別系統(tǒng)和軟件中的漏洞，確定優(yōu)先級，最終修復(fù)漏洞。然而隨著網(wǎng)絡(luò)安全預(yù)算緊張、遠程辦公的常態(tài)化，越來越復(fù)雜的威脅形勢給傳統(tǒng)漏洞管理工作提出了更加嚴峻的挑戰(zhàn)。如果企業(yè)想降低重大安全事件的數(shù)量和損失，就必須創(chuàng)建一個能夠更加全面反映組織所面臨的實際安全挑戰(zhàn)的威脅管理流程，從傳統(tǒng)的漏洞管理向持續(xù)威脅暴露管理（CTEM）演進成為了企業(yè)數(shù)字化轉(zhuǎn)型中的必然選擇。

傳統(tǒng)漏洞管理的不足

漏洞管理是一個識別、分析、緩解和報告軟件應(yīng)用系統(tǒng)中安全威脅的過程。漏洞管理需要定期進行，以及時評估現(xiàn)有的安全狀況，以及漏洞管理計劃是否需要優(yōu)化更改。全面且執(zhí)行良好的漏洞管理計劃對于防范網(wǎng)絡(luò)威脅提供了許多幫助，但也常常面臨以下限制：

1 洞察力不足

傳統(tǒng)的漏洞管理模式需要和已知的漏洞數(shù)據(jù)庫進行比對，經(jīng)常會錯過數(shù)據(jù)庫之外的活躍威脅，或者超出其能力識別范圍的復(fù)雜威脅。它們還會產(chǎn)生大量的誤報，從而使企業(yè)對關(guān)鍵威脅的敏感度降低。在這種不全面的威脅管理模式下，企業(yè)往往會存在一種虛假的安全感，只要漏洞掃描沒有發(fā)現(xiàn)異常，安全運營人員就會認為一切太平。

2 管理無序

難以對所發(fā)現(xiàn)的威脅進行優(yōu)先級排序是企業(yè)目前在漏洞管理工作中面臨的最嚴重的挑戰(zhàn)之一。太多企業(yè)通過掃描識別安全漏洞，然后直接進入修復(fù)階段。在某種程度上，這種緊迫性是可以理解的。但未能有效地確定優(yōu)先級可能會導(dǎo)致時間和資源的浪費，因為團隊競相解決的可能是那些對業(yè)務(wù)關(guān)鍵資產(chǎn)沒有真正風(fēng)險的漏洞。

3 缺乏連續(xù)性

企業(yè)的威脅管理工作應(yīng)該是持續(xù)的，而不是偶發(fā)的。如果企業(yè)不采取持續(xù)的方法，他們將難以控制安全風(fēng)險的流動并積累大量的“風(fēng)險債務(wù)”。在傳統(tǒng)的漏洞管理模式下，由于自動化能力不足，安全運營團隊往往會疲于奔命，而處理不斷積壓的安全問題可能會使安全運營工作整體不堪重負，如何實現(xiàn)以自動化威脅識別為中心的持續(xù)威脅管理方法是企業(yè)持續(xù)改進安全態(tài)勢的關(guān)鍵要求。

持續(xù)威脅暴露管理的價值

傳統(tǒng)的漏洞管理只能夠解決企業(yè)當(dāng)前的威脅風(fēng)險問題，但潛在的漏洞風(fēng)險仍然存在。為了真正做到安然無恙，研究機構(gòu)Gartner提出了一種主動式威脅防御新思路——持續(xù)威脅暴露管理（Continuous Threat Exposure Management，CTEM）。在這種理念中，強調(diào)了持續(xù)性的安全威脅發(fā)現(xiàn)、修復(fù)和緩解，鼓勵安全團隊采用主動的風(fēng)險管理心態(tài)，而非傳統(tǒng)模型的被動心態(tài)。

Gartner認為，CTEM是一種更加務(wù)實且有效的系統(tǒng)化威脅管理方法論，可以有效降低組織遭到安全泄密事件的可能性。通過優(yōu)先考慮高等級的潛在威脅處置，CTEM實現(xiàn)了不斷完善的安全態(tài)勢改進，將“修復(fù)和態(tài)勢改進”從暴露面管理計劃中分離，強調(diào)有效改進態(tài)勢的處置要求。同時，CTEM計劃的運作有特定的時間范圍，它遵循治理、風(fēng)險和合規(guī)性（GRC）的要求，可為企業(yè)長期安全管理戰(zhàn)略的轉(zhuǎn)變提供決策支撐。

對于企業(yè)組織而言，將傳統(tǒng)漏洞管理模式升級為持續(xù)威脅暴露管理（CTEM）可以獲得以下收益：

•不僅限于漏洞修補：CTEM不僅識別和修補漏洞，它還能夠持續(xù)監(jiān)控整個網(wǎng)絡(luò)攻擊面，包括外部威脅和錯誤配置，從而提供組織網(wǎng)絡(luò)安全風(fēng)險態(tài)勢的完整視圖；

•提高威脅管理效率：人工修補漏洞不僅耗時，也更容易出錯。CTEM能夠幫助安全運營人員自動化處理這些任務(wù)，使安全團隊能夠?qū)Ｗ⒂谥匾ぷ骱褪录憫?yīng)。

•數(shù)據(jù)驅(qū)動的管理決策：CTEM使組織能夠根據(jù)實時數(shù)據(jù)和威脅情報做出更優(yōu)化的安全管理決策，這有助于優(yōu)化資源分配，并盡量提高威脅管理工作的成效。

•增強的安全態(tài)勢：通過主動識別和緩解威脅，CTEM增強了整體安全態(tài)勢，使組織能夠應(yīng)對一系列更廣泛的威脅，不僅僅是漏洞，這大大降低了新型網(wǎng)絡(luò)攻擊得逞的風(fēng)險。

•實時威脅情報支持：CTEM要求整合最新的威脅情報信息，便于組織根據(jù)漏洞被利用的可能性確定其優(yōu)先級，從而確保合理利用有限資源，優(yōu)先處理那些最嚴重的安全威脅。

向持續(xù)威脅暴露管理演進的關(guān)鍵因素

盡管開展持續(xù)威脅暴露管理有很多優(yōu)點，但其真正實現(xiàn)也并不容易，因為這需要企業(yè)安全運營團隊長期投入大量時間、人員及其他資源。為了保障企業(yè)由傳統(tǒng)的漏洞管理模式向持續(xù)威脅暴露管理的順利演進，研究人員建議企業(yè)在此過程中重點關(guān)注以下5個因素：

1 定義明確的目標

企業(yè)應(yīng)該明確定義采用CTEM計劃的安全目標和期望結(jié)果，使組織網(wǎng)絡(luò)風(fēng)險管理工作與數(shù)字化發(fā)展目標協(xié)同一致。這有利于指導(dǎo)接下來的持續(xù)威脅暴露管理工作。

2 評估現(xiàn)有的數(shù)字化環(huán)境

在實施CTEM計劃之前，企業(yè)應(yīng)該全面了解現(xiàn)有的安全基礎(chǔ)設(shè)施、工具和流程，以確定能力差距和集成需求。掌握最新的數(shù)字化資產(chǎn)清單是開展持續(xù)威脅管理管理計劃的基礎(chǔ)要求，但實踐起來卻非常困難。尤其是在當(dāng)今的企業(yè)環(huán)境中，物理設(shè)備、遠程終端、物聯(lián)網(wǎng)組件、云服務(wù)、軟件即服務(wù)（SaaS）和開源代碼組件等大量系統(tǒng)和應(yīng)用充斥其中，想要獲取一份全面并能及時更新的數(shù)字資產(chǎn)清單非常困難。

3 選擇合適的技術(shù)工具

企業(yè)在實施持續(xù)威脅暴露管理計劃時，需要應(yīng)用功能完善的威脅管理工具。這樣不僅可以快速識別各種安全漏洞，還能夠自動部署和安裝相應(yīng)補丁，從而加強系統(tǒng)的安全性，防止嚴重的安全風(fēng)險。

4 制定全面的威脅管理計劃

企業(yè)應(yīng)該為持續(xù)監(jiān)測、威脅情報集成、漏洞補救和持續(xù)優(yōu)化制定一項全面的策略計劃。通過全面的威脅管理策略，可幫助安全團隊在實時網(wǎng)絡(luò)攻擊的壓力下，有條不紊地采取適當(dāng)?shù)耐{管理和處置措施。同時，還建議企業(yè)盡快更新組織的網(wǎng)絡(luò)安全意識培訓(xùn)計劃，強調(diào)日常業(yè)務(wù)環(huán)境中威脅可見性和警惕性的重要性，并根據(jù)每個員工的日常反饋，不斷更新優(yōu)化CTEM流程與目標。

5 組建專業(yè)的威脅管理團隊

開展持續(xù)威脅暴露管理涉及多個方面，從定期的滲透測試到全面的威脅暴露管理，任何一個疏漏都可能導(dǎo)致危害發(fā)生。因此，需要一個專業(yè)、可靠的安全團隊來進行保障。在這個安全團隊中，除了要配置負責(zé)威脅發(fā)現(xiàn)和事件處置的專業(yè)人員，還要涵蓋業(yè)務(wù)部門的利益相關(guān)者，例如業(yè)務(wù)部門的風(fēng)險管理員工，他們可以說明在對業(yè)務(wù)系統(tǒng)進行處置時，組織可能受到的影響，這樣團隊可以更好地制定并實施威脅暴露管理工作計劃。