https://www.informationsecurity.com.tw/Seminar/2024_TCM/
https://www.informationsecurity.com.tw/Seminar/2024_TCM/

觀點

建構主動式防禦的6個關鍵技術

2023 / 01 / 18
編輯部
建構主動式防禦的6個關鍵技術
當前,網路安全形勢更加嚴峻,而傳統安全佈建思維以被動防禦為主,基於已知的攻擊特徵和模式,缺乏對新型威脅的安全感知能力和應對手段。在企業安全防護更強調攻防對抗和有效性的背景下,構建主動式防禦能力體系,將是有效應對日益複雜的網路攻擊手段,以保障企業數位化轉型成功的必要路徑。
 
儘管企業用戶對主動式防禦需求旺盛,但是一些主動式安全產品還不夠成熟,存在誤報率高、實施難度大、可管理性差等問題,導致實際應用表現差強人意。
 
在2023年,以下6種較為成熟的主動式防禦技術/產品值得關注。

1. 安全態勢管理(Security Posture Management, SPM)

被動式的回應安全事件,往往會耗費安全人員大量精力,同時又難以避免對企業財產和業務造成損失。而安全態勢管理方案則可以自動識別和修復整個企業數位化環境中的風險,幫助企業安全管理者進行風險視覺化、自動化事件回應和合規性監控。
 
目前SPM技術包含有多種類型,包括了專注於雲基礎設施(包括IaaS、SaaS和PaaS)的雲安全態勢管理,以及識別敏感性資料並確保其安全的資料安全態勢管理。
 
不過在2023年,對企業組織而言最重要的SPM技術可能是SaaS安全態勢管理(SSPM),主要用於檢測和修復SaaS應用程式中的錯誤配置和其他問題。SSPM是雲存取安全代理程式(CASB)技術發展以來SaaS安全領域最重要的創新之一,雖然CASB仍然屬於一種被動安全防護模式,但SSPM尋求實施最嚴格的安全性原則,同時仍然使應用程式保持可行。
 
此外,雲安全態勢管理(CSPM)也是SPM一個重要的細分應用,旨在識別雲中的錯誤配置問題和合規風險。CSPM解決方案的一個重要目標是持續監控雲基礎設施,以發現安全性原則執行方面的漏洞。

2. 攻擊面管理(Attack Surface Management , ASM)

ASM技術要求持續發現和監控企業所有的數位化資產,從應用程式、數位憑證、程式碼到行動和物聯網設備,以保持已知和未知資產的可見性。據最新調查資料顯示,目前,有52%的受訪企業組織管理著超過10,000個數位資產,因此ASM將是一項重要且不斷增長的技術。
 
安全專家認為,ASM是安全分析技術的進步,是傳統威脅檢測與回應類技術方案的能力延伸。ASM利用了威脅檢測響應中惡意活動意識增強的趨勢,並將其進一步擴展。它回答了很多問題,比如企業哪裡可能成為目標,哪裡缺乏可見性,組織的攻擊面整體是什麼樣的?在哪些方面缺乏足夠的監控措施?或者說,企業是否真正具備了應有的防禦機制和能力?
 
根據Gartner的描述,ASM技術需要超越傳統資產的識別範圍(如端點、伺服器、設備或應用程式等),通過將發現的資源整合到資源庫,使用戶可以瞭解到傳統威脅檢測工具的覆蓋缺口。ASM還可以通過API整合提供自動化的資料收集,取代傳統手動和低效的資產收集分析模式,説明安全團隊實現對整體環境的安全控制、安全態勢感知和資產風險修復,從而主動改善企業的數位化安全狀況。

3. 入侵和攻擊模擬(Breach and Attack Simulation, BAS)

入侵和攻擊模擬(BAS)也是由Gartner首先提出的概念,並將之歸到了新興技術行列。正如 Gartner 描述的,此類工具「可供安全團隊以一致的方式持續測試安全控制措施,貫穿從預防到檢測乃至回應的整個過程。」BAS與傳統的滲透測試和漏洞管理工具有根本上的不同。後兩種方法都需要大量的人工指導,實際上會為安全團隊製造更多的工作和帶來更多誤報。相比之下,BAS完全自動化,並在全面的劇本中模擬數千種攻擊。
 
BAS工具能夠高效一致地衡量現有安全檢測功能及運營的有效性。類比結果可説明指導產品投資及配置決策以堵上安全性漏洞,還有助於補全企業領導的網路安全知識空缺,比如:攻擊者能悄悄繞過我們的防禦嗎?我們適用的風險是什麼?這些風險對我們能造成什麼樣的影響?這可以使安全人員處於影響短期投資決策、參與長期安全規劃的位置上,還能從商業角度總結出安全運營上的改善。

4. 網路安全性能管理(Cybersecurity performance management ,CPM)

網路安全性能管理(Cybersecurity performance management)主要是監控瞭解企業現有安全防護體系的性能表現和產品工作狀態,並以此評估企業應對網路安全風險的整體能力和健康指標。透過CPM,企業可以對部署的各種重要網路設備和安全防護產品進行監測,並對監測過程中採集的資料進行分析,從而實施評估數位化系統的運行狀況和穩定性。CPM的典型功能包括:
  • 性能監控:由企業定義需要監控的物件及其屬性,定時採集相關物件的檢測資料,自動生成性能報告;
  • 閾值控制:針對不同的時間段和性能指標,為監控物件的運行屬性設置閾值,並提供相應的閾值管理和警報機制;
  • 性能分析:對監測資料進行統計、整理和分析,結合性能指標判斷網路安全態勢,為安全管理者提供參考;
  • 視覺化報告:對性能分析結果進行記錄和處理,生成性能趨勢曲線,以圖形方式直觀反映安全防護體系性能狀態;
  • 性能查詢:可通過清單或關鍵字等方式檢索安全防護系統的即時或歷史性能狀態。

5. 雲端授權管理(Cloud Permissions Management)

雲端應用已成為企業數位化發展的重要趨勢,保障雲端安全將是企業安全團隊的重要工作任務。雲基礎設施授權管理是一種採取了主動性安全防護模式的雲安全創新技術,它補充而不是替代現有威脅檢測與回應技術的被動安全防護模式。此技術可以發現企業業務上雲後的存取權限範圍,並執行最小許可權原則,即授予用戶執行工作所需的最小許可權。例如,CPM可以檢測對雲資源的過度訪問。一旦確定,CPM工具可以提出合理的安全建議,甚至自動執行所需的更改。

6. 安全即服務(SECaaS)

隨著網路安全運營工作變得越來越複雜,而安全人才仍然稀缺,預計會有更多的組織轉向選購安全即服務。通過SECaaS模式,企業可以將網路安全管理任務移交給有經驗的專業協力廠商安全公司,如託管安全服務提供者(MSSP)。目前,主流的SECaaS服務範圍包括了從維護廣泛的安全功能到監督特定的系統,如安全資訊和事件管理、CASB和安全存取服務邊緣。
 
對於企業而言,想要依靠自身的安全團隊充分管理好所有的安全產品和工具會面臨很多挑戰,但尋找到適合的MSSP或SECaaS提供商卻相對容易,他們可以幫助企業識別各種類型的安全性漏洞,並以合理的成本解決企業面臨的安全問題。

本文轉自Secrss。