隨著數(shù)字化轉(zhuǎn)型的深入發(fā)展，網(wǎng)絡(luò)安全工作已經(jīng)得到企業(yè)組織的高度重視。但是在很多企業(yè)中，還是將安全建設(shè)的重心放在如何響應(yīng)和處置已經(jīng)發(fā)生的安全事件上，這樣的防護(hù)模式并不能減少企業(yè)未來面對的安全風(fēng)險。在此背景下，研究機(jī)構(gòu)Gartner提出，企業(yè)組織應(yīng)該將網(wǎng)絡(luò)安全工作的重心從被動事件響應(yīng)轉(zhuǎn)向主動威脅管理。

Gartner副總裁級分析師Jeremy D’Hoinne認(rèn)為，通過鼓勵安全團(tuán)隊采用主動的風(fēng)險管理心態(tài)，將會有效改善企業(yè)內(nèi)、外部的安全態(tài)勢，并可為企業(yè)長期安全管理戰(zhàn)略的轉(zhuǎn)變提供決策支撐。因為主動威脅管理并不關(guān)注攻擊事件本身，而是關(guān)注攻擊路徑，站在攻擊者的角度去思考攻擊可能發(fā)生在哪里，以及可能采用的攻擊戰(zhàn)術(shù)和實施手段。為了實現(xiàn)主動威脅管理的防護(hù)目標(biāo)，組織需要完成以下五個關(guān)鍵步驟。

步驟1：界定組織的攻擊面

云計算的快速應(yīng)用，及遠(yuǎn)程辦公方式的興起，直接導(dǎo)致現(xiàn)代企業(yè)組織的網(wǎng)絡(luò)攻擊面迅速擴(kuò)大，并導(dǎo)致聯(lián)網(wǎng)架構(gòu)出現(xiàn)越來越多的盲點。因此，要實現(xiàn)有效的網(wǎng)絡(luò)威脅主動管理，首先要從界定組織的攻擊面做起，全面跟蹤數(shù)字化環(huán)境中所有變化的因素并及時清點數(shù)字化資產(chǎn)。界定攻擊面的最終目的是，確保組織中沒有暴露的資產(chǎn)未受監(jiān)控，最大限度地消除安全盲點。

步驟2：持續(xù)進(jìn)行資產(chǎn)發(fā)現(xiàn)

為了準(zhǔn)確識別和界定攻擊面，組織需要通過探測互聯(lián)網(wǎng)數(shù)據(jù)集和證書數(shù)據(jù)庫，或模擬攻擊者的入侵方式，全面分析組織的數(shù)字資產(chǎn)，并針對所發(fā)現(xiàn)的安全缺口，尋找實用的應(yīng)對方法。很多組織會將界定攻擊面和資產(chǎn)發(fā)現(xiàn)相混淆，已發(fā)現(xiàn)的資產(chǎn)和漏洞的數(shù)量本身并不代表成功，基于業(yè)務(wù)風(fēng)險和潛在影響準(zhǔn)確地識別未知資產(chǎn)和新增資產(chǎn)對企業(yè)更加重要。做好主動威脅管理的基礎(chǔ)是要持續(xù)量化資產(chǎn)暴露面和風(fēng)險問題，并且提供針對性的治理。

步驟3：評估威脅優(yōu)先級

盡管企業(yè)暴露的IT資產(chǎn)很多，但并不是所有的資產(chǎn)漏洞黑客都會感興趣。攻擊者通常會從一個最容易被利用的弱點切入，進(jìn)而攻破重要系統(tǒng)，造成數(shù)據(jù)篡改、信息泄露、病毒勒索等安全事件的發(fā)生。對網(wǎng)絡(luò)威脅進(jìn)行優(yōu)先級評估的目的不是為了解決資產(chǎn)上的每一個安全問題，而是要將有限的資源和精力，優(yōu)先投入到防護(hù)最緊急的威脅。優(yōu)先級的確定應(yīng)該考慮以下因素：

• 威脅的緊迫感；
• 威脅的嚴(yán)重性與破壞性；
• 相應(yīng)安全控制措施的可用性；
• 對相關(guān)威脅風(fēng)險的容忍度；
• 企業(yè)面臨的風(fēng)險等級。

步驟4：開展有效性驗證

根據(jù)Gartner的定義，在主動威脅管理的要求中，會明確涉及威脅有效性驗證的要求，因此企業(yè)的安全團(tuán)隊不能只聚焦于識別發(fā)現(xiàn)和評估通知的能力，同樣應(yīng)當(dāng)具備攻擊有效性驗證核查以及收斂攻擊面的能力。從技術(shù)角度，融合驗證收斂能夠提升識別驗證與處置的效果，防止大范圍誤報、海量告警無從處理的情況發(fā)生。從管理角度，開展攻擊有效性驗證也保證了流程的閉環(huán)，避免只告警待整改、不整改的情況發(fā)生。

實踐表明，攻擊驗證應(yīng)當(dāng)整合平臺自動化驗證以及安全服務(wù)涉及的專家驗證，其中自動化驗證能夠盡速縮減驗證范圍，提升人員驗證的效率；而專家驗證可以基于自動化驗證結(jié)果，也可基于專門場景。

步驟5：實施完善的威脅管理計劃

主動威脅管理是一種更加務(wù)實且有效的系統(tǒng)化威脅管理方法，可以有效降低組織遭受網(wǎng)絡(luò)安全攻擊的可能性。通過優(yōu)先考慮高等級的潛在威脅處置，CTEM實現(xiàn)了不斷完善的安全態(tài)勢改進(jìn)，同時還強(qiáng)調(diào)有效改進(jìn)安全態(tài)勢的處置要求。主動威脅管理工作的開展需要一套完善的實施計劃，并遵循治理、風(fēng)險和合規(guī)性（GRC）的要求。

在實施主動威脅管理計劃時，雖然自動化技術(shù)有助于解決一些明顯或不明顯的問題，但企業(yè)不能完全依賴它。企業(yè)應(yīng)該將主動威脅管理計劃傳達(dá)給安全團(tuán)隊所有成員和其它部門的利益相關(guān)者，確保大家都已充分了解。實施完善的威脅管理接話，可以減少審批、實施過程或緩解部署等方面的障礙，確保團(tuán)隊將主動威脅管理中發(fā)現(xiàn)的問題及應(yīng)對措施諸實施，并將跨團(tuán)隊的協(xié)同工作完整記錄。

參考鏈接：https://www.expresscomputer.in/guest-blogs/gartner-how-to-manage-cybersecurity-threats-not-episodes/103287/