CTEM這一概念由Gartner在2022年首次提出,旨在為企業(yè)提供一種結(jié)構(gòu)化的方法,持續(xù)評估、優(yōu)先處理、驗證和修復(fù)組織攻擊面上的暴露點,使企業(yè)能夠迅速應(yīng)對最關(guān)鍵的風(fēng)險。該框架的提出,幫助企業(yè)在面對日益擴大的攻擊面時更加游刃有余。
2024年,安全運營(SecOps)領(lǐng)域迎來重大變革。根據(jù)Gartner最新發(fā)布的《安全運營技術(shù)成熟度曲線》報告,持續(xù)威脅暴露管理(CTEM)到達炒作周期的頂峰,Gartner為該概念增加了三個新興類別:威脅暴露管理(Threat Exposure Management)、暴露評估平臺(Exposure Assessment Platforms,EAP)以及對抗性暴露驗證(Adversarial Exposure Validation,AEV)。
2024年安運營炒作周期圖
CTEM這一概念由Gartner在2022年首次提出,旨在為企業(yè)提供一種結(jié)構(gòu)化的方法,持續(xù)評估、優(yōu)先處理、驗證和修復(fù)組織攻擊面上的暴露點,使企業(yè)能夠迅速應(yīng)對最關(guān)鍵的風(fēng)險。該框架的提出,幫助企業(yè)在面對日益擴大的攻擊面時更加游刃有余。
CTEM新類別的定義為不斷演變的暴露管理技術(shù)領(lǐng)域提供了結(jié)構(gòu)化指導(dǎo),有助于企業(yè)識別最適合支持CTEM實施的安全廠商。
以下是對新類別及相關(guān)產(chǎn)品的解讀,及其對企業(yè)安全領(lǐng)導(dǎo)者的意義。
威脅暴露管理的兩大新類別
威脅暴露管理是CTEM框架的核心,涵蓋了管理威脅暴露所需的所有技術(shù)和流程,并包括了以下兩個新興類別:
暴露評估平臺(EAP):該類別融合了傳統(tǒng)的漏洞評估和漏洞優(yōu)先級技術(shù),旨在簡化漏洞管理并提升運營效率。Gartner將其評為高效益類別,正是因為EAP能夠大幅提升企業(yè)在應(yīng)對漏洞方面的能力。
對抗性暴露驗證(AEV):該類別將漏洞和攻擊模擬(BAS)與自動化滲透測試和紅隊演練合并,提供連續(xù)的、自動化的暴露證據(jù)。AEV通過模擬現(xiàn)實中的攻擊技術(shù)驗證企業(yè)的網(wǎng)絡(luò)韌性,預(yù)期將迎來顯著的市場增長。
EAP:減少對CVSS的依賴
EAP不僅能夠減少對CVSS評分的依賴,還能提供更加上下文化的數(shù)據(jù),使漏洞優(yōu)先級的確定更加精準。CVSS評分固然有用,但它只是一個指標,無法告訴你在具體環(huán)境和威脅態(tài)勢下漏洞的可利用性。而EAP則結(jié)合了威脅情報和資產(chǎn)重要性信息,使得企業(yè)能夠聚焦于實際對業(yè)務(wù)構(gòu)成風(fēng)險的漏洞,而不僅僅是可利用的漏洞。
此外,EAP還能幫助企業(yè)識別業(yè)務(wù)風(fēng)險,確保安全團隊將精力放在那些可能對關(guān)鍵業(yè)務(wù)資產(chǎn)產(chǎn)生重大影響的漏洞上,而不是無關(guān)緊要的系統(tǒng)配置問題。
AEV:鎖定現(xiàn)實威脅
盡管EAP能夠提供暴露的上下文信息,但它們?nèi)匀痪窒抻诶碚摂?shù)據(jù)分析,缺乏實際可利用攻擊路徑的證據(jù)。而AEV通過模擬對抗性攻擊,確認哪些安全漏洞在特定環(huán)境中真正可被利用,并評估攻擊者在成功利用漏洞后能夠走多遠。
簡單來說,AEV可在廣泛的理論威脅中鎖定現(xiàn)實威脅。
AEV的另一個優(yōu)勢在于,它讓紅隊演練變得更加容易。紅隊需要獨特的技能和工具,而這些通常難以獲取。使用自動化AEV產(chǎn)品可以幫助企業(yè)降低進入門檻,提供一個不錯的基準,讓紅隊能夠?qū)W⒂诟邇?yōu)先級領(lǐng)域。
AEV還可以使龐大的攻擊面變得更加可控。通過自動化測試,安全團隊可以定期、持續(xù)地在多個地點執(zhí)行測試,減輕安全人員的負擔(dān)。
CTEM實施面臨的挑戰(zhàn)與應(yīng)對策略
盡管CTEM框架為企業(yè)帶來了諸多優(yōu)勢,但在實施過程中仍然面臨一些挑戰(zhàn)。
在EAP方面,企業(yè)需要超越合規(guī)和CVSS評分的思維定勢。僅將評估視為勾選清單式的活動,會導(dǎo)致企業(yè)忽視漏洞的可利用性和潛在影響之間的差異。
在AEV方面,找到覆蓋全面的技術(shù)解決方案也是一大難題。雖然許多廠商提供攻擊模擬或自動化滲透測試功能,但這些功能通常被視為獨立的模塊。對于那些希望驗證安全控制有效性和安全漏洞可利用性的企業(yè)來說,可能需要分別實施多個產(chǎn)品。
主動風(fēng)險管理的新時代
自兩年前CTEM框架問世以來,企業(yè)對主動風(fēng)險暴露管理的需求日益增長。此次Gartner的技術(shù)成熟度曲線中呈現(xiàn)的新分類,反映了這一領(lǐng)域產(chǎn)品的日趨成熟,推動了CTEM框架的實際應(yīng)用。
在選擇AEV產(chǎn)品時,建議企業(yè)尋找能夠無縫整合BAS和滲透測試功能的解決方案,因為大多數(shù)工具并不具備這一特點。優(yōu)先選擇無代理技術(shù),可以準確模擬攻擊者手法,同時降低運營負擔(dān)。這種獨特的組合確保了安全團隊能夠持續(xù)驗證企業(yè)的安全狀態(tài),并且具有真實的攻擊相關(guān)性。