主動安全防御的理念已經(jīng)被提出很多年，但是很多安全專家對這種想法似乎已經(jīng)不再抱有希望，原因是新型的網(wǎng)絡攻擊始終都在不斷變化，攻擊者有充分的時間和資源來設計新的攻擊策略，以繞過防御、逃避檢測。因此，基于攔截攻擊這種思路所設計的主動網(wǎng)絡安全模型在實踐中表現(xiàn)得往往差強人意。

在此背景下，研究機構(gòu)Gartner提出了一種主動式安全防御新思路——持續(xù)威脅暴露管理(Continuous Threat Exposure Management，CTEM)。它并不關注攻擊事件本身，而是關注攻擊路徑，站在攻擊者的角度去思考攻擊可能發(fā)生在哪里，以及可能采用的攻擊戰(zhàn)術和實施手段。由于大多數(shù)企業(yè)組織的數(shù)據(jù)泄露都可以歸因為有限的攻擊面可見性，而CTEM正是強調(diào)了實時性的安全威脅發(fā)現(xiàn)、修復和緩解。

CTEM的應用價值

CTEM通過鼓勵安全團隊采用主動的風險管理心態(tài)，而非傳統(tǒng)模型的被動心態(tài)，這將有效改變企業(yè)內(nèi)部和外部攻擊面管理模式。正是因為這一特點，Gartner將CTEM列為“2023年頂級網(wǎng)絡安全趨勢”。根據(jù)Gartner的預測，到2026年，成功實施CTEM計劃的組織所遭受的網(wǎng)絡攻擊威脅將會減少三分之二以上。

Gartner認為，CTEM是一種更加務實且有效的系統(tǒng)化威脅管理方法論，可以有效降低組織遭到安全泄密事件的可能性。通過優(yōu)先考慮高等級的潛在威脅處置，CTEM實現(xiàn)了不斷完善的安全態(tài)勢改進，將“修復和態(tài)勢改進”從暴露面管理計劃中分離，強調(diào)有效改進態(tài)勢的處置要求。同時，CTEM計劃的運作有特定的時間范圍，它遵循治理、風險和合規(guī)性(GRC)的要求，可為企業(yè)長期安全管理戰(zhàn)略的轉(zhuǎn)變提供決策支撐。

通過優(yōu)先考慮高等級的潛在威脅處置，CTEM實現(xiàn)了不斷完善的安全態(tài)勢改進，并將"修復和態(tài)勢改進"從暴露面管理計劃中分離，強調(diào)基于企業(yè)實際業(yè)務狀況改進安全威脅態(tài)勢的處置要求。同時，CTEM計劃的運作有特定的時間范圍，它遵循治理、風險和合規(guī)性的綜合要求，可為企業(yè)長期網(wǎng)絡安全管理戰(zhàn)略轉(zhuǎn)型提供決策支撐。

此外，通過將風險評估模型從基本的時間點(point-in-time)方法轉(zhuǎn)移到實時(real-time)風險意識，CTEM管理模型會非常適合于供應商風險管理計劃，因為在傳統(tǒng)的時間點模型中，僅在計劃評估時的單個時間點描繪第三方安全風險的圖像。而通過將風險評估與持續(xù)的攻擊面監(jiān)控相結(jié)合，企業(yè)可以將實時組件整合到第三方攻擊面管理中，安全團隊能夠始終了解每個供應商的安全狀況，從而了解數(shù)據(jù)泄露的易感程度。

CTEM應用實踐

盡管CTEM有很多優(yōu)點，但其真正實現(xiàn)也并不容易，因為這需要安全運營團隊長期投入大量時間、人員及其他資源。企業(yè)在實施CTEM計劃時，需要讓威脅暴露面管理評估成為一種常態(tài)，并將暴露面管理變成多層次的過程，具體包括：

• 風險搜尋：旨在隔離和預測可能存在的攻擊路徑。
• 危急評估：旨在按照風險級別和危害性對暴露面進行合理排序。
• 系統(tǒng)補救：旨在消除系統(tǒng)中存在的安全漏洞和不足。
• 設定目標：旨在使網(wǎng)絡風險管理與數(shù)字化發(fā)展目標協(xié)同一致。

為了保障CTEM項目的順利實施，研究人員總結(jié)了以下實用性建議：

1、確?，F(xiàn)有的風險緩解流程都已優(yōu)化并可擴展

由于在CTEM計劃實施后，系統(tǒng)之間的數(shù)據(jù)共享需求將顯著增加，因此必須首先優(yōu)化當前的威脅發(fā)現(xiàn)和風險管理程序。否則，安全團隊將需要把大部分時間花在集成故障排除上，而不是管理攻擊面，這就違背了制定CTEM計劃的初衷。

2、設計有效的事件響應計劃

只有當組織能夠及時響應每個檢測到的威脅時，CTEM計劃所增強的威脅可見性才能真正發(fā)揮作用。事件響應計劃可幫助安全團隊在實時網(wǎng)絡攻擊的壓力下，有條不紊地采取適當?shù)耐{響應措施。

3、繪制內(nèi)、外部攻擊面

企業(yè)的攻擊面管理解決方案應該能夠映射出所有的攻擊面，只有實現(xiàn)充分的可見性才能完全符合CTEM的要求。因此，攻擊面管理解決方案需要可以檢測復雜的攻擊向量，例如生命周期結(jié)束的軟件、鏈接到易受攻擊服務器的域、未維護的頁面等，所有這些風險都能被輕松解決，從而快速減少攻擊面。

4、采取基于風險的方法

增強的可見性使安全團隊能夠了解其攻擊面狀態(tài)。但是，只有當安全團隊了解如何有效地分配風險緩解工作時，這些信息才有用?；陲L險的漏洞管理方法(RBVM)是一個框架，可用于幫助安全團隊決定將安全響應工作的重點放在哪里。通過明確定義的風險偏好，RBVM框架會根據(jù)威脅對組織安全狀態(tài)的可能影響來判斷優(yōu)先處理哪些威脅。

5、持續(xù)地優(yōu)化改進

實時威脅可見性的要求已經(jīng)超越了傳統(tǒng)的數(shù)字領域。在潛在威脅滲透到組織網(wǎng)絡之前，企業(yè)所有的員工在發(fā)現(xiàn)這些威脅方面都會起著至關重要的作用。因此，建議盡快更新組織的網(wǎng)絡安全意識培訓計劃，強調(diào)日常業(yè)務環(huán)境中威脅可見性和警惕性的重要性，并根據(jù)每個員工的日常反饋，不斷更新優(yōu)化CTEM流程與目標。

參考鏈接：

https://www.upguard.com/blog/adopting-a-cyber-threat-exposure-management-approach。