主動(dòng)安全防御的理念已經(jīng)被提出很多年，但是很多安全專家對這種想法似乎已經(jīng)不再抱有希望，原因是新型的網(wǎng)絡(luò)攻擊始終都在不斷變化，攻擊者有充分的時(shí)間和資源來設(shè)計(jì)新的攻擊策略，以繞過防御、逃避檢測。因此，基于攔截攻擊這種思路所設(shè)計(jì)的主動(dòng)網(wǎng)絡(luò)安全模型在實(shí)踐中表現(xiàn)得往往差強(qiáng)人意。

在此背景下，研究機(jī)構(gòu)Gartner提出了一種主動(dòng)式安全防御新思路——持續(xù)威脅暴露管理(Continuous Threat Exposure Management，CTEM)。它并不關(guān)注攻擊事件本身，而是關(guān)注攻擊路徑，站在攻擊者的角度去思考攻擊可能發(fā)生在哪里，以及可能采用的攻擊戰(zhàn)術(shù)和實(shí)施手段。由于大多數(shù)企業(yè)組織的數(shù)據(jù)泄露都可以歸因?yàn)橛邢薜墓裘婵梢娦?，而CTEM正是強(qiáng)調(diào)了實(shí)時(shí)性的安全威脅發(fā)現(xiàn)、修復(fù)和緩解。

CTEM的應(yīng)用價(jià)值

CTEM通過鼓勵(lì)安全團(tuán)隊(duì)采用主動(dòng)的風(fēng)險(xiǎn)管理心態(tài)，而非傳統(tǒng)模型的被動(dòng)心態(tài)，這將有效改變企業(yè)內(nèi)部和外部攻擊面管理模式。正是因?yàn)檫@一特點(diǎn)，Gartner將CTEM列為“2023年頂級網(wǎng)絡(luò)安全趨勢”。根據(jù)Gartner的預(yù)測，到2026年，成功實(shí)施CTEM計(jì)劃的組織所遭受的網(wǎng)絡(luò)攻擊威脅將會減少三分之二以上。

Gartner認(rèn)為，CTEM是一種更加務(wù)實(shí)且有效的系統(tǒng)化威脅管理方法論，可以有效降低組織遭到安全泄密事件的可能性。通過優(yōu)先考慮高等級的潛在威脅處置，CTEM實(shí)現(xiàn)了不斷完善的安全態(tài)勢改進(jìn)，將“修復(fù)和態(tài)勢改進(jìn)”從暴露面管理計(jì)劃中分離，強(qiáng)調(diào)有效改進(jìn)態(tài)勢的處置要求。同時(shí)，CTEM計(jì)劃的運(yùn)作有特定的時(shí)間范圍，它遵循治理、風(fēng)險(xiǎn)和合規(guī)性(GRC)的要求，可為企業(yè)長期安全管理戰(zhàn)略的轉(zhuǎn)變提供決策支撐。

通過優(yōu)先考慮高等級的潛在威脅處置，CTEM實(shí)現(xiàn)了不斷完善的安全態(tài)勢改進(jìn)，并將"修復(fù)和態(tài)勢改進(jìn)"從暴露面管理計(jì)劃中分離，強(qiáng)調(diào)基于企業(yè)實(shí)際業(yè)務(wù)狀況改進(jìn)安全威脅態(tài)勢的處置要求。同時(shí)，CTEM計(jì)劃的運(yùn)作有特定的時(shí)間范圍，它遵循治理、風(fēng)險(xiǎn)和合規(guī)性的綜合要求，可為企業(yè)長期網(wǎng)絡(luò)安全管理戰(zhàn)略轉(zhuǎn)型提供決策支撐。

此外，通過將風(fēng)險(xiǎn)評估模型從基本的時(shí)間點(diǎn)(point-in-time)方法轉(zhuǎn)移到實(shí)時(shí)(real-time)風(fēng)險(xiǎn)意識，CTEM管理模型會非常適合于供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃，因?yàn)樵趥鹘y(tǒng)的時(shí)間點(diǎn)模型中，僅在計(jì)劃評估時(shí)的單個(gè)時(shí)間點(diǎn)描繪第三方安全風(fēng)險(xiǎn)的圖像。而通過將風(fēng)險(xiǎn)評估與持續(xù)的攻擊面監(jiān)控相結(jié)合，企業(yè)可以將實(shí)時(shí)組件整合到第三方攻擊面管理中，安全團(tuán)隊(duì)能夠始終了解每個(gè)供應(yīng)商的安全狀況，從而了解數(shù)據(jù)泄露的易感程度。

CTEM應(yīng)用實(shí)踐

盡管CTEM有很多優(yōu)點(diǎn)，但其真正實(shí)現(xiàn)也并不容易，因?yàn)檫@需要安全運(yùn)營團(tuán)隊(duì)長期投入大量時(shí)間、人員及其他資源。企業(yè)在實(shí)施CTEM計(jì)劃時(shí)，需要讓威脅暴露面管理評估成為一種常態(tài)，并將暴露面管理變成多層次的過程，具體包括：

• 風(fēng)險(xiǎn)搜尋：旨在隔離和預(yù)測可能存在的攻擊路徑。
• 危急評估：旨在按照風(fēng)險(xiǎn)級別和危害性對暴露面進(jìn)行合理排序。
• 系統(tǒng)補(bǔ)救：旨在消除系統(tǒng)中存在的安全漏洞和不足。
• 設(shè)定目標(biāo)：旨在使網(wǎng)絡(luò)風(fēng)險(xiǎn)管理與數(shù)字化發(fā)展目標(biāo)協(xié)同一致。

為了保障CTEM項(xiàng)目的順利實(shí)施，研究人員總結(jié)了以下實(shí)用性建議：

1、確保現(xiàn)有的風(fēng)險(xiǎn)緩解流程都已優(yōu)化并可擴(kuò)展

由于在CTEM計(jì)劃實(shí)施后，系統(tǒng)之間的數(shù)據(jù)共享需求將顯著增加，因此必須首先優(yōu)化當(dāng)前的威脅發(fā)現(xiàn)和風(fēng)險(xiǎn)管理程序。否則，安全團(tuán)隊(duì)將需要把大部分時(shí)間花在集成故障排除上，而不是管理攻擊面，這就違背了制定CTEM計(jì)劃的初衷。

2、設(shè)計(jì)有效的事件響應(yīng)計(jì)劃

只有當(dāng)組織能夠及時(shí)響應(yīng)每個(gè)檢測到的威脅時(shí)，CTEM計(jì)劃所增強(qiáng)的威脅可見性才能真正發(fā)揮作用。事件響應(yīng)計(jì)劃可幫助安全團(tuán)隊(duì)在實(shí)時(shí)網(wǎng)絡(luò)攻擊的壓力下，有條不紊地采取適當(dāng)?shù)耐{響應(yīng)措施。

3、繪制內(nèi)、外部攻擊面

企業(yè)的攻擊面管理解決方案應(yīng)該能夠映射出所有的攻擊面，只有實(shí)現(xiàn)充分的可見性才能完全符合CTEM的要求。因此，攻擊面管理解決方案需要可以檢測復(fù)雜的攻擊向量，例如生命周期結(jié)束的軟件、鏈接到易受攻擊服務(wù)器的域、未維護(hù)的頁面等，所有這些風(fēng)險(xiǎn)都能被輕松解決，從而快速減少攻擊面。

4、采取基于風(fēng)險(xiǎn)的方法

增強(qiáng)的可見性使安全團(tuán)隊(duì)能夠了解其攻擊面狀態(tài)。但是，只有當(dāng)安全團(tuán)隊(duì)了解如何有效地分配風(fēng)險(xiǎn)緩解工作時(shí)，這些信息才有用?；陲L(fēng)險(xiǎn)的漏洞管理方法(RBVM)是一個(gè)框架，可用于幫助安全團(tuán)隊(duì)決定將安全響應(yīng)工作的重點(diǎn)放在哪里。通過明確定義的風(fēng)險(xiǎn)偏好，RBVM框架會根據(jù)威脅對組織安全狀態(tài)的可能影響來判斷優(yōu)先處理哪些威脅。

5、持續(xù)地優(yōu)化改進(jìn)

實(shí)時(shí)威脅可見性的要求已經(jīng)超越了傳統(tǒng)的數(shù)字領(lǐng)域。在潛在威脅滲透到組織網(wǎng)絡(luò)之前，企業(yè)所有的員工在發(fā)現(xiàn)這些威脅方面都會起著至關(guān)重要的作用。因此，建議盡快更新組織的網(wǎng)絡(luò)安全意識培訓(xùn)計(jì)劃，強(qiáng)調(diào)日常業(yè)務(wù)環(huán)境中威脅可見性和警惕性的重要性，并根據(jù)每個(gè)員工的日常反饋，不斷更新優(yōu)化CTEM流程與目標(biāo)。

參考鏈接：

https://www.upguard.com/blog/adopting-a-cyber-threat-exposure-management-approach。