不管我們是否愿意接受，有一個殘酷的現(xiàn)實必須要面對，網(wǎng)絡安全形勢正在不斷惡化而非緩解，網(wǎng)絡攻擊的復雜性、多發(fā)性和危害性都在不斷打破記錄。在此情況下，我們應該反思：為什么之前所做的一切努力并沒有顯著改善當前的網(wǎng)絡安全健康現(xiàn)狀？

長期以來，網(wǎng)絡安全行業(yè)一直在不斷強調(diào)威脅檢測和響應的作用，但是種種跡象表明，各種新型的網(wǎng)絡攻擊不僅沒有減少，而且似乎根本無法阻止。當企業(yè)投入大量的資源（時間、金錢和人力）來發(fā)現(xiàn)正在發(fā)生或已發(fā)生的網(wǎng)絡攻擊，又投入更多的資源去清除威脅時，新的攻擊卻隨時會突破防御并導致故態(tài)復萌。在此情況下，企業(yè)安全團隊該如何相信這種立足于檢測和響應的安全機制會變得更好，而不是變得更糟呢？當一種防護模式已被多次證明無力應對當下的安全威脅時，何不嘗試尋找一些其他的創(chuàng)新策略和思路呢？

是改變現(xiàn)狀時候了

主動安全防御的理念已經(jīng)被提出很多年，但是很多安全專家和研究人員對這個想法似乎已經(jīng)不再抱有希望，原因是由于攻擊在不斷變化，攻擊者有充分的時間和資源來設計新的攻擊策略，以繞過防御、逃避檢測。因此，基于攔截攻擊這種思路所設計的主動網(wǎng)絡安全模型在實踐中表現(xiàn)的往往差強人意，也就不足為奇了。

在此背景下，研究機構Gartner提出了一種基于威脅暴露面管理的主動式安全防御的落地新思路。它并不關注攻擊事件本身，而是關注攻擊路徑，站在攻擊者的角度去思考攻擊可能發(fā)生在哪里，以及可能采用的攻擊戰(zhàn)術和實施手段，這個過程也叫風險搜尋。在識別和分析所有可能的威脅暴露點之后，就可以根據(jù)其脆弱程度和危害程度制定威脅暴露面管理計劃，從而系統(tǒng)性地解決數(shù)字化業(yè)務系統(tǒng)的安全隱患。因此，在Gartner給出定義中，威脅暴露面管理并不是一種技術手段，而是下一代安全運營的創(chuàng)新模式。

威脅暴露面管理流程示意

大多數(shù)網(wǎng)絡攻擊都是需要入口的，如果企業(yè)的威脅暴露面消失了，那么攻擊行動在滲透之前就已經(jīng)失敗了。暴露面管理不是為了解決在攻擊事件發(fā)生后如何快速發(fā)現(xiàn)和應急響應，而是通過關閉通往敏感目標的入侵途徑，來實現(xiàn)對其安全防護的效果。由于企業(yè)的數(shù)字化業(yè)務和資產(chǎn)在不斷變化中，因此對暴露面的管理工作也不是一勞永逸的，這是一種持續(xù)的方法和運營過程，需要經(jīng)過安全專家的綜合分析，將合適的數(shù)據(jù)和技術結合起來，對各種暴露面進行合理排序，實現(xiàn)最優(yōu)化的防護效果。

如果說基于威脅檢測和響應的傳統(tǒng)網(wǎng)絡安全模型是以加強防御為導向，那么暴露面管理或將顛覆傳統(tǒng)，因為它強調(diào)主動出擊，在攻擊發(fā)生前發(fā)現(xiàn)和修復暴露面，封堵可能被利用的攻擊路徑。通過主動管理暴露面來防止攻擊發(fā)生，這有望改變目前網(wǎng)絡安全攻防對抗中的游戲規(guī)則。

威脅暴露面管理如何實現(xiàn)？

暴露面管理的優(yōu)點顯而易見，但其真正實現(xiàn)也并不容易，因為做好暴露面管理工作需要安全運營團隊長期投入大量時間、人員及其他資源，這會比大多數(shù)安全團隊真正可利用的資源多得多。企業(yè)安全運營團隊也許能找到一些暴露面，但卻無力實施完整的堵住計劃。他們可能會關閉幾條攻擊途徑，但新的攻擊途徑卻在不斷產(chǎn)生。暴露面管理會成為一個理想?yún)s不可能實現(xiàn)的概念嗎？

當企業(yè)希望在網(wǎng)絡安全建設中顛覆傳統(tǒng)時，也必須認真思考可行性，并設立相關的行動標準和計劃，因為網(wǎng)絡攻擊者就是這么做的。為了更好地將威脅暴露面管理付諸實踐，Gartner給出了一種務實且有效的系統(tǒng)化威脅管理方法論CTEM（Continuous Threat Exposure Management），通過優(yōu)先考慮高等級的潛在威脅處置，CTEM實現(xiàn)了不斷完善的安全態(tài)勢改進，將"修復和態(tài)勢改進"從暴露面管理計劃中分離，強調(diào)基于企業(yè)實際業(yè)務狀況改進安全威脅態(tài)勢的處置要求。同時，CTEM計劃的運作有特定的時間范圍，它遵循治理、風險和合規(guī)性的綜合要求，可為企業(yè)長期網(wǎng)絡安全管理戰(zhàn)略轉型提供決策支撐。

CTEM應用還處在不斷優(yōu)化升級過程中，因此在優(yōu)化威脅暴露管理需要考慮以下三個關鍵要素：持續(xù)實施、系統(tǒng)框架和人工智能。威脅暴露面管理應該是一個持續(xù)的過程，這樣才可以保障威脅防御的效果；利用已確立的網(wǎng)絡安全框架，則可以充分享用最新又準確的威脅情報和處置經(jīng)驗；而通過人工智能和自動化技術，能夠更有效地管理威脅暴露、避免人為錯誤。

在實施CTEM計劃時，企業(yè)需要讓暴露面管理評估成為一種常態(tài)，并將暴露面管理變成多層次的過程，包括如下：

• 風險搜尋，旨在隔離和預測可能存在的攻擊路徑；
• 危急評估，旨在按照風險級別和危害性對暴露面進行合理排序；
• 系統(tǒng)補救，旨在消除系統(tǒng)中存在的安全漏洞和不足；
• 設定目標，旨在使網(wǎng)絡風險管理與數(shù)字化發(fā)展目標協(xié)同一致。

當以上四個方面要求得到持續(xù)整合時，企業(yè)就可以應對不斷變化的攻擊環(huán)境中各種威脅。CTEM方法有望能夠更好地阻止各種新型攻擊，但也需要清楚認知，CTEM需要不同于以往的網(wǎng)絡安全專業(yè)知識支撐。

一些創(chuàng)新的網(wǎng)絡安全服務商正在嘗試將CTEM作為一種服務來提供，幫助企業(yè)用戶提供風險搜尋、評估和補救，以交付企業(yè)數(shù)字化業(yè)務發(fā)展所需的安全保障結果，在此過程概念中，服務商需要有專業(yè)的團隊和能力來幫助企業(yè)發(fā)現(xiàn)更多的潛在被攻擊路徑，并結合時間、人員和技術，實現(xiàn)暴露面管理。對于像暴露面管理這種高價值但資源密集型的工作，在一定程度上選擇服務外包是非常合情合理的，這業(yè)讓更多的企業(yè)可以利用CTEM來實現(xiàn)主動安全防護能力，從而在應對攻擊者時占據(jù)上風。