今年夏天,Gartner 推出了持續威脅暴露管理 (CTEM)。這是一組流程和功能,可讓組織創建一個比基於項目的周期性方法更快的風險審查系統。
隨著無休止的威脅和漏洞衝擊當今的組織,風險管理評估所有數字和實物資產的可訪問性、公開性和可利用性對於管理和優先降低企業風險是必要的。
我們採訪了 Skybox Security,詳細了解這個新術語對企業安全的意義,尤其是當組織準備在 2023 年面對新威脅時。
BN:你能告訴我們更多關於 CTEM 的信息,以及它與傳統漏洞管理的區別?
惠普:這個名字本身就暗示了很多。 CTEM 的目標是創建組織可以理解並且安全團隊可以實施的可操作的安全態勢補救計劃。該過程的目標是持續識別和解決最有可能被利用的威脅,而不是嘗試補救已識別的每個威脅。
CTEM 是對漏洞管理程序的改進,已在過去,主要表現在連續方面。組織需要認識到,僅運行掃描或聘請機構每年進行兩次測試是不夠的。因為新的漏洞一直在引入,我們知道常見的漏洞數據庫以每年數万個的速度增長,而組織的基礎設施也在不斷變化。當今的組織需要能夠持續進行威脅評估和風險管理。我們通常建議客戶每天運行掃描以查看發生了什麼變化,包括基礎設施和配置方面的變化,以及惡意行為者可以利用的新威脅或漏洞利用。
我要指出的另一個變化是我們現在使用的術語是暴露,而不僅僅是漏洞。這也是對真正只關注漏洞的原始漏洞管理程序範圍的擴展,這些漏洞可能在特定的軟件或硬件上受到損害,有人可能會去利用這些漏洞。曝光範圍遠不止於此。例如,錯誤配置可能是一種暴露,也可能是缺少控制間隙。因此,不一定是軟件錯誤或某些東西損壞了。它可以像允許訪問應受保護的網絡區域的人為錯誤一樣簡單。這就是為什麼 CTEM 被視為管理整個企業網絡風險的更成熟方法的原因。
BN:您能為我們介紹一下 CTEM 計劃是什麼樣的嗎?
HP:當我們審視風險管理計劃的定義時,有幾個非常不同的階段。第一個是發現。風險管理首先要詳細了解組織擁有哪些資產、資產的所有者是誰、資產的重要性等等。下一部分是檢測風險,這就是與 IT 和 OT 世界中的各種掃描儀集成以開始映射不同資產上存在的各種風險的關鍵所在。
一旦我們完成了在第二階段,通常需要對基礎設施中數以萬計的潛在風險進行分類。依賴傳統漏洞評分的公司通常會遇到嚴重漏洞太多和補救帶寬有限的問題,這常常導致他們將注意力集中在錯誤的事情上。這就是基於風險的優先級排序技術可以幫助確定什麼是最關鍵的——例如,通過確定哪些漏洞正在被野外利用,或者哪些資產已暴露。
然後我們進入第四階段,即修復和驗證。這就是安全團隊手動或自動啟動漏洞修復的地方。這也是他們驗證補救措施確實有效並衡量該計劃的各種指標的地方,例如滿足補救 SLA 的能力。
BN:您在漏洞管理領域看到了哪些趨勢?
惠普:我要指出幾個趨勢。網絡風險量化是一項重大工作。我們看到安全團隊越來越多地尋求我們的幫助,以將網絡風險轉化為更廣泛的企業可以理解的語言。例如,如果少量服務器存在很大風險,但這些服務器對組織極其重要,那麼這些服務器的任何停機時間都會轉化為巨大的經濟損失。這是我們的客戶希望幫助計算和展示的東西,以便他們可以展示為什麼他們優先考慮對這一小部分資產進行補救和額外的安全費用。
第二個是圍繞自動化。我們都知道網絡安全人員短缺的問題。這就是為什麼許多跨行業的組織都在尋求自動化他們的漏洞和配置管理。在某些方面,更傳統的自動化解決方案讓客戶失望,因為他們不夠聰明,無法在大量上下文中安全地進行自動化。安全客戶並沒有放棄,他們仍在尋找方法來以更少的人為參與和更少的人為錯誤來更快地進行補救,並對環境中的高嚴重性威脅做出快速響應。
最後一個是從對傳統遺留 IT 應用漏洞管理擴展到對基礎設施中有些被忽視的部分(如運營技術 (OT) 設備)執行暴露和威脅管理。這就是我們看到安全團隊要求在他們的 OT、雲工作負載以及在某些情況下遠程工作者上應用漏洞和威脅管理的地方。僅僅對數據中心的服務器或建築物中的設備進行漏洞管理已經不夠了。
圖片來源:alexskopje/depositphotos.com/p>