企業風險管理案例
多年來,外部攻擊面管理(EASM)一直是許多安全組織及其供應商的重點關注領域。
EASM試圖發現組織外部攻擊面的全部范圍,并修復相關問題,其覆蓋面廣,主要針對軟件漏洞、錯誤配置和被忽視的影子IT資產,從外部著手管理安全風險。對增加攻擊面可見性和外部資產認知的關注得到了CISO(首席信息安全官)、CIO和從業者的一致認同。
最近,一個新的網絡安全框架和工具集應運而生——曝光管理(EM)。當EM(有時稱為威脅曝光管理)應用于組織時,它不僅關注漏洞和錯誤配置的發現,還著重于優先處理這些安全發現,并將其轉化為可操作的結果,從而簡化工作流程并提升安全效果。
EM的創新在于將焦點從單純的漏洞轉向可被利用的漏洞,進而根據可利用性來優先處理修復行動。
EASM的優點與不足
Gartner于2021年首次在其《Gartner安全運營技術炒作周期》報告中提出EASM概念,且該類別迅速成為安全創新的觸發點,攀升至技術炒作周期的高峰。
安全生態系統快速意識到EASM的價值,市場的整合隨之加速。IBM收購了Randori,Palo Alto收購了Xpanse,微軟收購了RiskIQ,EASM迅速被整合進了網絡安全巨頭們更大、更全面的產品中。
EASM解決方案的架構師和部署者認識到,要想發揮效力,安全范式必須能夠應對并克服多個結構性和后勤挑戰:
動態攻擊面:SaaS應用程序和按需云服務的部署模糊了所需信息(如IP地址、設備名稱、網絡標識等)的邊界,這些信息對準確、最新的資產目錄化和跟蹤至關重要。用戶的不確定性,例如通過無害的重新配置暴露資產,以及將公司設備連接到有風險的網絡,進一步加劇了這種動態性。
無網絡邊界:曾經,企業網絡局限于組織總部,但隨著區域辦公室和合作伙伴組織的加入,這一邊界擴展了。云技術的采用進一步模糊了企業網絡的定義。BYOD(自帶設備)和COVID-19疫情期間的遠程辦公最終打破了關于清晰網絡邊界或資產分類規則的幻想,但這些資產依然需要得到防護。
信息和人員孤島:如今的組織規模龐大,部門界限日益模糊,這種動態性可能消除瓶頸、鼓勵主動性并提升生產力,但也阻礙了對部署資產(通常是非正式的)和隨意使用的資產進行準確的目錄化和安全管理。
EASM能夠有效地進行持續的發現,并為許多新類型資產提供修復建議,然而,隨著它達到了炒作的頂峰,EASM的承諾開始出現問題。事實證明,過于追求資產可見性給漏洞管理團隊帶來了大量額外工作:
1. 盡管EASM工具強調的可見性提升了,但仍然留下了危險的盲點,特別是供應商管理的資產風險,大多數工具無法發現。此外,網站所依賴的代碼和腳本,例如第三方CSS和JavaScript,也可能面臨被攻破的風險,但早期的EASM工具完全忽視了這些風險。再加上EASM常常誤判資產歸屬、困在信息孤島中,以及生成大量誤報,導致客戶感到不滿和挫敗。
2. 可見性成為了另一個導致警報疲勞的來源。EASM本身并未提供處理這些噪音的流程,也沒有整合重復發現或將其融入現有工具和工作流程中。
3. EASM的威脅驗證和優先級設定是其薄弱環節:由于可見性增強帶來的大量噪音,確認警報的有效性并在對威脅嚴重性進行排序和分配修復優先級之前是至關重要的。
4. 上述缺陷導致企業錯誤地評估了風險暴露,處理了不相關的問題,浪費了時間和資源,同時讓關鍵風險區域暴露在外。
因此,不足為奇的是,Gartner很快將EASM歸入了“幻滅的低谷”。EASM的前景廣闊,但仍然需要大量投資來解決其市場交付初期階段中的不足。
曝露管理(EM)的出現
EASM試圖通過不斷編目潛在的CVE和錯誤配置來“煮沸海洋”,而EM則智能地尋找現實世界中實際存在的暴露和配置問題。
曝光管理的目標是確保組織發現并驗證這些暴露。驗證不僅支持優先級的設定,還能幫助修復工作。
以下三個原則為從EASM向曝光管理轉變提供了路徑。
更廣泛、更深入的發現——了解更多關于潛在威脅、漏洞和暴露的信息,同時提供證據、背景和涉及資產的相對重要性。發現的范圍至關重要,應包括組織管理和擁有的所有資產,如云和SaaS資產、供應商管理的資產以及與組織資產連接的數字供應鏈資產。資產歸屬證明也是全面發現過程中的關鍵一環。
驗證與優先級設定——一旦發現了潛在的暴露,EM工具能夠幫助驗證這些發現,并根據業務影響和可利用性為其設定優先級,這種方法確保首先處理暴露的關鍵資產。該原則不僅僅是創建漏洞清單,更主張對資產連接性的動態理解,通常以圖形表示,用以理解資產之間的關系以及安全問題的影響。
操作簡化——簡化操作流程是曝光管理(EM)的核心,減少平均修復時間(MTTR)對于管理暴露至關重要。EM專注于簡化警報處理流程,確保警報能夠及時到達正確的團隊。通過提供易于遵循的修復流程,幫助IT團隊快速且高效地采取行動。EM與安全信息與事件管理(SIEM)和工單系統的集成,確保適當的員工能夠迅速實施措施,減少被利用的時間窗口。
EASM 2.0 = 曝露管理
EM只是Gartner推出的下一個類別,引導CISO購買更多軟件工具嗎?
從傳統EASM到新興的曝光管理,不僅僅是語義上的變化。EASM通過強調攻擊面和可見性提供了良好的起點,但簡單地編目無數問題癥狀并不等同于理解其嚴重性,提供驗證的可利用性信息以及適當的修復措施。
網絡安全市場需要一種專注于實際暴露的管理方式,并使用優化的工具來持續分析可利用性并操作化修復措施。你可以將EM視為“EASM 2.0”的升級版,其基礎是關注可操作的發現和直接的指令。因此,曝光管理不僅是Gartner的“下一個大事件”,它還是保護組織資產和聲譽的最可行方法。
