不管我們是否愿意接受，有一個(gè)殘酷的現(xiàn)實(shí)必須要面對(duì)，網(wǎng)絡(luò)安全形勢(shì)正在不斷惡化而非緩解，網(wǎng)絡(luò)攻擊的復(fù)雜性、多發(fā)性和危害性都在不斷打破記錄。在此情況下，我們應(yīng)該反思：為什么之前所做的一切努力并沒(méi)有顯著改善當(dāng)前的網(wǎng)絡(luò)安全健康現(xiàn)狀？

長(zhǎng)期以來(lái)，網(wǎng)絡(luò)安全行業(yè)一直在不斷強(qiáng)調(diào)威脅檢測(cè)和響應(yīng)的作用，但是種種跡象表明，各種新型的網(wǎng)絡(luò)攻擊不僅沒(méi)有減少，而且似乎根本無(wú)法阻止。當(dāng)企業(yè)投入大量的資源（時(shí)間、金錢(qián)和人力）來(lái)發(fā)現(xiàn)正在發(fā)生或已發(fā)生的網(wǎng)絡(luò)攻擊，又投入更多的資源去清除威脅時(shí)，新的攻擊卻隨時(shí)會(huì)突破防御并導(dǎo)致故態(tài)復(fù)萌。在此情況下，企業(yè)安全團(tuán)隊(duì)該如何相信這種立足于檢測(cè)和響應(yīng)的安全機(jī)制會(huì)變得更好，而不是變得更糟呢？當(dāng)一種防護(hù)模式已被多次證明無(wú)力應(yīng)對(duì)當(dāng)下的安全威脅時(shí)，何不嘗試尋找一些其他的創(chuàng)新策略和思路呢？

是改變現(xiàn)狀時(shí)候了

主動(dòng)安全防御的理念已經(jīng)被提出很多年，但是很多安全專家和研究人員對(duì)這個(gè)想法似乎已經(jīng)不再抱有希望，原因是由于攻擊在不斷變化，攻擊者有充分的時(shí)間和資源來(lái)設(shè)計(jì)新的攻擊策略，以繞過(guò)防御、逃避檢測(cè)。因此，基于攔截攻擊這種思路所設(shè)計(jì)的主動(dòng)網(wǎng)絡(luò)安全模型在實(shí)踐中表現(xiàn)的往往差強(qiáng)人意，也就不足為奇了。

在此背景下，研究機(jī)構(gòu)Gartner提出了一種基于威脅暴露面管理的主動(dòng)式安全防御的落地新思路。它并不關(guān)注攻擊事件本身，而是關(guān)注攻擊路徑，站在攻擊者的角度去思考攻擊可能發(fā)生在哪里，以及可能采用的攻擊戰(zhàn)術(shù)和實(shí)施手段，這個(gè)過(guò)程也叫風(fēng)險(xiǎn)搜尋。在識(shí)別和分析所有可能的威脅暴露點(diǎn)之后，就可以根據(jù)其脆弱程度和危害程度制定威脅暴露面管理計(jì)劃，從而系統(tǒng)性地解決數(shù)字化業(yè)務(wù)系統(tǒng)的安全隱患。因此，在Gartner給出定義中，威脅暴露面管理并不是一種技術(shù)手段，而是下一代安全運(yùn)營(yíng)的創(chuàng)新模式。

威脅暴露面管理流程示意

大多數(shù)網(wǎng)絡(luò)攻擊都是需要入口的，如果企業(yè)的威脅暴露面消失了，那么攻擊行動(dòng)在滲透之前就已經(jīng)失敗了。暴露面管理不是為了解決在攻擊事件發(fā)生后如何快速發(fā)現(xiàn)和應(yīng)急響應(yīng)，而是通過(guò)關(guān)閉通往敏感目標(biāo)的入侵途徑，來(lái)實(shí)現(xiàn)對(duì)其安全防護(hù)的效果。由于企業(yè)的數(shù)字化業(yè)務(wù)和資產(chǎn)在不斷變化中，因此對(duì)暴露面的管理工作也不是一勞永逸的，這是一種持續(xù)的方法和運(yùn)營(yíng)過(guò)程，需要經(jīng)過(guò)安全專家的綜合分析，將合適的數(shù)據(jù)和技術(shù)結(jié)合起來(lái)，對(duì)各種暴露面進(jìn)行合理排序，實(shí)現(xiàn)最優(yōu)化的防護(hù)效果。

如果說(shuō)基于威脅檢測(cè)和響應(yīng)的傳統(tǒng)網(wǎng)絡(luò)安全模型是以加強(qiáng)防御為導(dǎo)向，那么暴露面管理或?qū)㈩嵏矀鹘y(tǒng)，因?yàn)樗鼜?qiáng)調(diào)主動(dòng)出擊，在攻擊發(fā)生前發(fā)現(xiàn)和修復(fù)暴露面，封堵可能被利用的攻擊路徑。通過(guò)主動(dòng)管理暴露面來(lái)防止攻擊發(fā)生，這有望改變目前網(wǎng)絡(luò)安全攻防對(duì)抗中的游戲規(guī)則。

威脅暴露面管理如何實(shí)現(xiàn)？

暴露面管理的優(yōu)點(diǎn)顯而易見(jiàn)，但其真正實(shí)現(xiàn)也并不容易，因?yàn)樽龊帽┞睹婀芾砉ぷ餍枰踩\(yùn)營(yíng)團(tuán)隊(duì)長(zhǎng)期投入大量時(shí)間、人員及其他資源，這會(huì)比大多數(shù)安全團(tuán)隊(duì)真正可利用的資源多得多。企業(yè)安全運(yùn)營(yíng)團(tuán)隊(duì)也許能找到一些暴露面，但卻無(wú)力實(shí)施完整的堵住計(jì)劃。他們可能會(huì)關(guān)閉幾條攻擊途徑，但新的攻擊途徑卻在不斷產(chǎn)生。暴露面管理會(huì)成為一個(gè)理想?yún)s不可能實(shí)現(xiàn)的概念嗎？

當(dāng)企業(yè)希望在網(wǎng)絡(luò)安全建設(shè)中顛覆傳統(tǒng)時(shí)，也必須認(rèn)真思考可行性，并設(shè)立相關(guān)的行動(dòng)標(biāo)準(zhǔn)和計(jì)劃，因?yàn)榫W(wǎng)絡(luò)攻擊者就是這么做的。為了更好地將威脅暴露面管理付諸實(shí)踐，Gartner給出了一種務(wù)實(shí)且有效的系統(tǒng)化威脅管理方法論CTEM（Continuous Threat Exposure Management），通過(guò)優(yōu)先考慮高等級(jí)的潛在威脅處置，CTEM實(shí)現(xiàn)了不斷完善的安全態(tài)勢(shì)改進(jìn)，將"修復(fù)和態(tài)勢(shì)改進(jìn)"從暴露面管理計(jì)劃中分離，強(qiáng)調(diào)基于企業(yè)實(shí)際業(yè)務(wù)狀況改進(jìn)安全威脅態(tài)勢(shì)的處置要求。同時(shí)，CTEM計(jì)劃的運(yùn)作有特定的時(shí)間范圍，它遵循治理、風(fēng)險(xiǎn)和合規(guī)性的綜合要求，可為企業(yè)長(zhǎng)期網(wǎng)絡(luò)安全管理戰(zhàn)略轉(zhuǎn)型提供決策支撐。

CTEM應(yīng)用還處在不斷優(yōu)化升級(jí)過(guò)程中，因此在優(yōu)化威脅暴露管理需要考慮以下三個(gè)關(guān)鍵要素：持續(xù)實(shí)施、系統(tǒng)框架和人工智能。威脅暴露面管理應(yīng)該是一個(gè)持續(xù)的過(guò)程，這樣才可以保障威脅防御的效果；利用已確立的網(wǎng)絡(luò)安全框架，則可以充分享用最新又準(zhǔn)確的威脅情報(bào)和處置經(jīng)驗(yàn)；而通過(guò)人工智能和自動(dòng)化技術(shù)，能夠更有效地管理威脅暴露、避免人為錯(cuò)誤。

在實(shí)施CTEM計(jì)劃時(shí)，企業(yè)需要讓暴露面管理評(píng)估成為一種常態(tài)，并將暴露面管理變成多層次的過(guò)程，包括如下：

• 風(fēng)險(xiǎn)搜尋，旨在隔離和預(yù)測(cè)可能存在的攻擊路徑；
• 危急評(píng)估，旨在按照風(fēng)險(xiǎn)級(jí)別和危害性對(duì)暴露面進(jìn)行合理排序；
• 系統(tǒng)補(bǔ)救，旨在消除系統(tǒng)中存在的安全漏洞和不足；
• 設(shè)定目標(biāo)，旨在使網(wǎng)絡(luò)風(fēng)險(xiǎn)管理與數(shù)字化發(fā)展目標(biāo)協(xié)同一致。

當(dāng)以上四個(gè)方面要求得到持續(xù)整合時(shí)，企業(yè)就可以應(yīng)對(duì)不斷變化的攻擊環(huán)境中各種威脅。CTEM方法有望能夠更好地阻止各種新型攻擊，但也需要清楚認(rèn)知，CTEM需要不同于以往的網(wǎng)絡(luò)安全專業(yè)知識(shí)支撐。

一些創(chuàng)新的網(wǎng)絡(luò)安全服務(wù)商正在嘗試將CTEM作為一種服務(wù)來(lái)提供，幫助企業(yè)用戶提供風(fēng)險(xiǎn)搜尋、評(píng)估和補(bǔ)救，以交付企業(yè)數(shù)字化業(yè)務(wù)發(fā)展所需的安全保障結(jié)果，在此過(guò)程概念中，服務(wù)商需要有專業(yè)的團(tuán)隊(duì)和能力來(lái)幫助企業(yè)發(fā)現(xiàn)更多的潛在被攻擊路徑，并結(jié)合時(shí)間、人員和技術(shù)，實(shí)現(xiàn)暴露面管理。對(duì)于像暴露面管理這種高價(jià)值但資源密集型的工作，在一定程度上選擇服務(wù)外包是非常合情合理的，這業(yè)讓更多的企業(yè)可以利用CTEM來(lái)實(shí)現(xiàn)主動(dòng)安全防護(hù)能力，從而在應(yīng)對(duì)攻擊者時(shí)占據(jù)上風(fēng)。