即使企業投入大量資源建構最先進的資安防護系統,仍然無法完全避免被攻破的風險,這已是資安領域必須面對的現實。然而問題的癥結並非資安團隊缺乏資訊,恰恰相反,是因為資訊過載。每個資安工具都會產生大量的發現項目,不斷要求修補漏洞、阻擋威脅、調查事件,但其中絕大多數警報其實都沒有實質意義。
試圖修補所有漏洞不僅不切實際,更是徒勞無益。真正精明的資安團隊不會浪費時間追蹤這些無意義的警報,而是專注於識別真正對業務構成風險的資安弱點。這正是 Gartner 提出「持續性威脅暴露管理(Continuous Threat Exposure Management,CTEM)」概念的核心意義。CTEM 以優先序判定和有效性驗證為基礎,有效縮小防禦範圍,讓組織能將有限資源集中在真正重要的弱點上,同時確保防禦措施能在關鍵時刻發揮作用。
傳統弱點管理面臨的困境
傳統弱點管理建立在一個簡單前提上:找出弱點、評分,然後修補。這個方法在過去確實有效,但面對如今前所未有且持續湧現的威脅浪潮,已演變成一場無止盡的循環。每年超過 40,000 個共通漏洞與曝險(Common Vulnerabilities and Exposures,CVE)被公布,而像 CVSS 和 EPSS 這類評分系統僅能機械式地將 61% 的漏洞標記為「重大」。
這些標籤往往忽略了關鍵的環境因素:漏洞是否藏於多層認證後方、是否已被現有安全控制所阻擋,或在特定環境中根本無法被利用。在這些系統眼中,所有威脅一律被視為同等危險,毫無區別。結果是資安團隊浪費寶貴精力在那些攻擊者永遠不會利用的漏洞上,而真正重要的少數威脅卻在視線之外悄悄潛伏。
考量現有的資安控制措施後,真正嚴重的資安弱點僅佔全部的約 10%。這意味著 84% 所謂的「緊急」警報實際上都是假警報,白白消耗了原本應用於對抗真正威脅的時間、預算和專注力。
CTEM 以實際風險取代抽象評分
持續性威脅曝險管理應運而生,旨在終結這個無止境的循環。它讓團隊避開理論上「重大」發現的泥沼,透過兩個關鍵步驟,以清晰的實際風險評估取代抽象的數值評分。
首先是優先序判定,依據真實業務影響而非抽象嚴重性分數來排序暴露風險。其次是有效性驗證,在特定環境中對已排序的暴露風險進行壓力測試,揭示攻擊者實際可利用的風險。
這兩個步驟缺一不可。單靠優先序判定只是有根據的猜測,單具備有效性驗證則會浪費時間在假設性問題上。兩者結合能將假設轉變為實證,將無盡的清單轉化為有焦點、可行的行動方案。
CTEM 的範疇遠超過 CVE 漏洞。
根據 Gartner 的預測,到 2028 年,超過半數的資安風險將源於非技術性的弱點,例如 SaaS 應用程式設定錯誤、憑證外洩和人為疏失。CTEM 正面解決這個問題,對各種類型的資安風險都應用相同的優先序判定後再驗證的行動鏈。
對抗性曝險驗證實現自動化
CTEM 需要驗證,但驗證需要技巧和對抗性的情境,這正是對抗性曝險驗證(Adversarial Exposure Validation,AEV)技術所能提供的。AEV 有助於進一步篩選出那些被誇大的「優先順序」清單,並實際證明哪些安全弱點真的會讓駭客入侵。此自動化仰賴兩種關鍵技術。
入侵與攻擊模擬(Breach and Attack Simulation,BAS)持續且安全地模擬各種攻擊手法,如勒索軟體載入、橫向移動和資料外洩,以驗證特定安全防護措施是否能真正阻擋它們應該阻擋的威脅。這不是一次性的演練,而是持續進行的實務,其情境均依照 MITRE ATT&CK 威脅框架來對應,確保相關性、一致性和涵蓋範圍。
自動化滲透測試則進一步模擬真實駭客的方式,將各種漏洞和錯誤配置串連起來。該測試特別擅長揭露和利用複雜的攻擊路徑,包括 Active Directory 中的 Kerberos 票證破解(Kerberoasting)或透過身分系統管理不當進行權限提升。自動化滲透測試讓團隊不必依賴年度滲透測試,而能夠按需求隨時進行有意義的測試。
BAS 與自動化滲透測試結合起來,為團隊提供了大規模的攻擊者視角。它們不僅揭示看起來危險的威脅,更揭示環境中實際可被利用、可被偵測和可被防禦的威脅
。這種轉變對於動態基礎設施至關重要,因為在這類環境中,端點不斷上線下線、憑證可能在各種 SaaS 應用程式間外洩,且設定隨著每次迭代而改變。
Log4j 案例展現 AEV 價值
以 Log4j 為例,當此漏洞首次被發現時,所有掃描工具立即發出警報。CVSS 給予 10.0(最高危險等級)的評分,EPSS 模型預測極高的被利用機率,且資產盤點顯示此漏洞遍布整個環境。傳統方法使資安團隊僅能看到片面資訊,迫使他們將每個實例都視為同等緊急。結果是團隊資源迅速耗盡,寶貴時間浪費在追蹤同一問題的多個副本上。
對抗性曝險驗證徹底改變了應對方式。透過情境化驗證,資安團隊能迅速認識到並非所有 Log4j 實例都構成緊急威脅。某些系統已部署有效的 WAF 規則、補償性控制措施或網段隔離,將風險評分從 10.0 大幅降至 5.2。這項重新評估使問題從「必須立即放下一切處理」的緊急警報,轉變為「可納入正常修補週期」的例行工作項目。
同時,對抗性曝險驗證也能揭示相反的情況:看似低風險的 SaaS 應用程式錯誤配置,可能直接導致敏感資料外洩,使其從「中度風險」躍升至「緊急處理」等級。
對抗性曝險驗證為資安團隊帶來實質價值,主要透過測量三個關鍵面向:
- 防護有效性:確認系統是否能成功阻擋、記錄或偵測入侵嘗試
- 偵測與應變能力:評估資安監控中心(SOC)是否能察覺攻擊活動,以及資安事件應變團隊能否及時阻斷攻擊
- 營運準備度:識別工作流程、升級處理機制和攻擊圍堵程序中的弱點
實務上,對抗性曝險驗證能將 Log4j 或任何其他漏洞,從籠統的「全面緊急危機」轉變為精確的風險地圖。它不僅揭示資安長和資安團隊面臨哪些威脅,更明確指出哪些威脅對其現有環境真正構成影響。
本文轉載自 TheHackerNews。