國際知名研究顧問公司Gartner最近發布的「資安營運技術成熟度曲線」報告,在持續威脅曝險管理(Continuous Threat Exposure Management,簡稱CTEM)領域邁出了重要一步。
今年的報告涵蓋了CTEM領域的三大類別:
威脅曝險管理、
曝險評估平台(Exposure Assessment Platforms,簡稱EAP)以及
對抗性曝險驗證(Adversarial Exposure Validation,簡稱AEV)。
這些分類為快速發展的曝險管理技術領域提供了清晰架構,文中將分享CTEM相關產品類別以及它們對資安主管的重要性。
資安產業日趨成熟
CTEM(持續威脅暴露管理)是 Gartner 於 2022年提出的概念,這個結構化方法能讓企業持續
評估、
排序、
驗證和
修復攻擊風險,使企業能夠針對關鍵風險迅速採取行動。而近期發布的重組分類,目的就是為了幫企業找出能讓 CTEM落地的資安廠商。
威脅曝險管理為 CTEM 用於管理威脅的技術和流程,包含以下兩個新的 CTEM 類別:
- 弱點評估和弱點優先排序技術能力已合併成一個新類別 —— 曝險評估平台(EAP),旨在簡化弱點管理並提高作業效率。
- 對抗性曝險驗證(AEV)將入侵及攻擊模擬演練(BAS)、自動化滲透測試和紅隊演練合併為新功能,持續自動提供資安漏洞證據。該驗證預計將有巨大的市場成長,因為它能從駭客的角度驗證網路韌性,運用真實世界的攻擊技術來挑戰組織的 IT防禦。
曝險評估平台(EAP) 提供什麼功能?
首先,曝險評估平台降低了對 CVSS 分數的依賴來進行資安弱點優先排序。儘管 CVSS 分數是一個實用的指標,但它無法完全反映特定環境和威脅情境中弱點被利用的可能性。相較之下,曝險評估平台提供的資料更貼近威脅情報和資產重要性,為安全團隊提供可執行的見解,而非大量的資料。
這種脈絡讓我們能從業務風險的角度評估弱點。試想,一台設定錯誤但從未使用且未連接任何系統的設備,真的需要優先修復嗎?曝險評估平台能讓寶貴資源集中在那些不僅可能被利用,而且確實會危及重要業務資產的弱點上,無論是因為涉及敏感資料,還是影響營運持續性。
對抗性曝險驗證(AEV)的價值在哪?
雖然曝險評估平台利用掃描和資料來源提供資安風險背景,但僅限於理論分析,無法提供實際可利用攻擊路徑的證據。對抗性曝險驗證(AEV)
從駭客的角度確認風險,執行模擬攻擊以檢視特定環境中哪些資安漏洞確實可被利用,以及駭客能入侵到何種程度。
簡言之,對抗性曝險驗證將資安威脅從理論帶入實務。
對抗性曝險驗證還帶來其他優勢,如使紅隊滲透測試更易上手。紅隊需要一套獨特且難以培養和取得的技能與工具。而引入自動化的AEV產品來執行多項紅隊任務,不僅能降低入門門檻,還能為團隊奠定良好基礎。
挑戰與機會並存
推行威脅曝露管理(Threat Exposure Management)並非易事,企業必須克服不少難關才能充分發揮其效益。
談到曝露評估平台(EAP),最重要的是要跳脫「合規性」和「CVSS分數」的框架,改變把評估當成例行公事的心態。我們不能只把資安漏洞當成獨立的威脅,而是要深入了解每個漏洞的本質,並根據漏洞的「可利用性」和「潛在影響」來排列優先順序。
對於對抗性曝露驗證(AEV)來說,最大的挑戰在於找到一個全方位的解決方案。雖然市面上不少廠商都提供攻擊模擬或自動化滲透測試的服務,但這些功能往往是各自獨立的。如果資安團隊想要同時驗證防護措施的實際效果,以及漏洞是否真的能被駭客利用,可能就需要導入多種工具,反而會增加管理上的麻煩。
延伸閱讀:雲端安全難駕馭!了解CTEM如何協助降低雲端曝險威脅
從被動防禦到主動管理
自 CTEM框架兩年前推出以來,其發展凸顯了業界對主動降低風險暴露重要性的認同度日益提升。Gartner最新的技術成熟度曲線(Hype Cycle)報告中提出的新分類,不僅反映了這個領域產品的日漸成熟,更有助於企業將CTEM概念落實到日常營運中。
本文轉載自 The Hacker News。