CTEM這一概念由Gartner在2022年首次提出��,旨在為企業(yè)提供一種結(jié)構(gòu)化的方法,持續(xù)評(píng)估���、優(yōu)先處理、驗(yàn)證和修復(fù)組織攻擊面上的暴露點(diǎn)�����,使企業(yè)能夠迅速應(yīng)對(duì)最關(guān)鍵的風(fēng)險(xiǎn)�。該框架的提出,幫助企業(yè)在面對(duì)日益擴(kuò)大的攻擊面時(shí)更加游刃有余�����。
2024年��,安全運(yùn)營(yíng)(SecOps)領(lǐng)域迎來(lái)重大變革�����。根據(jù)Gartner最新發(fā)布的《安全運(yùn)營(yíng)技術(shù)成熟度曲線》報(bào)告,持續(xù)威脅暴露管理(CTEM)到達(dá)炒作周期的頂峰��,Gartner為該概念增加了三個(gè)新興類別:威脅暴露管理(Threat Exposure Management)���、暴露評(píng)估平臺(tái)(Exposure Assessment Platforms,EAP)以及對(duì)抗性暴露驗(yàn)證(Adversarial Exposure Validation,AEV)�。
2024年安運(yùn)營(yíng)炒作周期圖
CTEM這一概念由Gartner在2022年首次提出����,旨在為企業(yè)提供一種結(jié)構(gòu)化的方法�����,持續(xù)評(píng)估�、優(yōu)先處理、驗(yàn)證和修復(fù)組織攻擊面上的暴露點(diǎn)�����,使企業(yè)能夠迅速應(yīng)對(duì)最關(guān)鍵的風(fēng)險(xiǎn)��。該框架的提出�,幫助企業(yè)在面對(duì)日益擴(kuò)大的攻擊面時(shí)更加游刃有余。
CTEM新類別的定義為不斷演變的暴露管理技術(shù)領(lǐng)域提供了結(jié)構(gòu)化指導(dǎo),有助于企業(yè)識(shí)別最適合支持CTEM實(shí)施的安全廠商����。
以下是對(duì)新類別及相關(guān)產(chǎn)品的解讀,及其對(duì)企業(yè)安全領(lǐng)導(dǎo)者的意義�����。
威脅暴露管理的兩大新類別
威脅暴露管理是CTEM框架的核心���,涵蓋了管理威脅暴露所需的所有技術(shù)和流程����,并包括了以下兩個(gè)新興類別:
暴露評(píng)估平臺(tái)(EAP):該類別融合了傳統(tǒng)的漏洞評(píng)估和漏洞優(yōu)先級(jí)技術(shù)��,旨在簡(jiǎn)化漏洞管理并提升運(yùn)營(yíng)效率��。Gartner將其評(píng)為高效益類別�����,正是因?yàn)镋AP能夠大幅提升企業(yè)在應(yīng)對(duì)漏洞方面的能力���。
對(duì)抗性暴露驗(yàn)證(AEV):該類別將漏洞和攻擊模擬(BAS)與自動(dòng)化滲透測(cè)試和紅隊(duì)演練合并����,提供連續(xù)的、自動(dòng)化的暴露證據(jù)���。AEV通過(guò)模擬現(xiàn)實(shí)中的攻擊技術(shù)驗(yàn)證企業(yè)的網(wǎng)絡(luò)韌性��,預(yù)期將迎來(lái)顯著的市場(chǎng)增長(zhǎng)�。
EAP:減少對(duì)CVSS的依賴
EAP不僅能夠減少對(duì)CVSS評(píng)分的依賴�����,還能提供更加上下文化的數(shù)據(jù)����,使漏洞優(yōu)先級(jí)的確定更加精準(zhǔn)���。CVSS評(píng)分固然有用�����,但它只是一個(gè)指標(biāo)�����,無(wú)法告訴你在具體環(huán)境和威脅態(tài)勢(shì)下漏洞的可利用性�����。而EAP則結(jié)合了威脅情報(bào)和資產(chǎn)重要性信息����,使得企業(yè)能夠聚焦于實(shí)際對(duì)業(yè)務(wù)構(gòu)成風(fēng)險(xiǎn)的漏洞,而不僅僅是可利用的漏洞��。
此外��,EAP還能幫助企業(yè)識(shí)別業(yè)務(wù)風(fēng)險(xiǎn)�,確保安全團(tuán)隊(duì)將精力放在那些可能對(duì)關(guān)鍵業(yè)務(wù)資產(chǎn)產(chǎn)生重大影響的漏洞上,而不是無(wú)關(guān)緊要的系統(tǒng)配置問(wèn)題���。
AEV:鎖定現(xiàn)實(shí)威脅
盡管EAP能夠提供暴露的上下文信息��,但它們?nèi)匀痪窒抻诶碚摂?shù)據(jù)分析�,缺乏實(shí)際可利用攻擊路徑的證據(jù)����。而AEV通過(guò)模擬對(duì)抗性攻擊,確認(rèn)哪些安全漏洞在特定環(huán)境中真正可被利用���,并評(píng)估攻擊者在成功利用漏洞后能夠走多遠(yuǎn)��。
簡(jiǎn)單來(lái)說(shuō)��,AEV可在廣泛的理論威脅中鎖定現(xiàn)實(shí)威脅�����。
AEV的另一個(gè)優(yōu)勢(shì)在于�,它讓紅隊(duì)演練變得更加容易。紅隊(duì)需要獨(dú)特的技能和工具��,而這些通常難以獲取����。使用自動(dòng)化AEV產(chǎn)品可以幫助企業(yè)降低進(jìn)入門檻,提供一個(gè)不錯(cuò)的基準(zhǔn)��,讓紅隊(duì)能夠?qū)W⒂诟邇?yōu)先級(jí)領(lǐng)域�。
AEV還可以使龐大的攻擊面變得更加可控��。通過(guò)自動(dòng)化測(cè)試�����,安全團(tuán)隊(duì)可以定期、持續(xù)地在多個(gè)地點(diǎn)執(zhí)行測(cè)試�����,減輕安全人員的負(fù)擔(dān)�����。
CTEM實(shí)施面臨的挑戰(zhàn)與應(yīng)對(duì)策略
盡管CTEM框架為企業(yè)帶來(lái)了諸多優(yōu)勢(shì)�,但在實(shí)施過(guò)程中仍然面臨一些挑戰(zhàn)。
在EAP方面����,企業(yè)需要超越合規(guī)和CVSS評(píng)分的思維定勢(shì)。僅將評(píng)估視為勾選清單式的活動(dòng)����,會(huì)導(dǎo)致企業(yè)忽視漏洞的可利用性和潛在影響之間的差異。
在AEV方面�,找到覆蓋全面的技術(shù)解決方案也是一大難題。雖然許多廠商提供攻擊模擬或自動(dòng)化滲透測(cè)試功能��,但這些功能通常被視為獨(dú)立的模塊�。對(duì)于那些希望驗(yàn)證安全控制有效性和安全漏洞可利用性的企業(yè)來(lái)說(shuō),可能需要分別實(shí)施多個(gè)產(chǎn)品�����。
主動(dòng)風(fēng)險(xiǎn)管理的新時(shí)代
自兩年前CTEM框架問(wèn)世以來(lái),企業(yè)對(duì)主動(dòng)風(fēng)險(xiǎn)暴露管理的需求日益增長(zhǎng)�����。此次Gartner的技術(shù)成熟度曲線中呈現(xiàn)的新分類��,反映了這一領(lǐng)域產(chǎn)品的日趨成熟�����,推動(dòng)了CTEM框架的實(shí)際應(yīng)用���。
在選擇AEV產(chǎn)品時(shí)���,建議企業(yè)尋找能夠無(wú)縫整合BAS和滲透測(cè)試功能的解決方案,因?yàn)榇蠖鄶?shù)工具并不具備這一特點(diǎn)�。優(yōu)先選擇無(wú)代理技術(shù),可以準(zhǔn)確模擬攻擊者手法����,同時(shí)降低運(yùn)營(yíng)負(fù)擔(dān)��。這種獨(dú)特的組合確保了安全團(tuán)隊(duì)能夠持續(xù)驗(yàn)證企業(yè)的安全狀態(tài),并且具有真實(shí)的攻擊相關(guān)性��。
