持續威脅暴露面管理是否會顛覆傳統網絡安全

許安福

不管人們是否愿意接受，有一個殘酷的現實必須要面對，網絡安全形勢正在不斷惡化而非緩解，網絡攻擊的復雜性、多發性和危害性都在不斷打破記錄。在此情況下，我們應該反思：為什么之前所做的一切努力并沒有顯著改善當前的網絡安全狀況？

長期以來，網絡安全行業一直在不斷強調威脅檢測和響應的作用，但是種種跡象表明，各種新型的網絡攻擊不僅沒有減少，而且似乎根本無法阻止。當企業投入大量的資源（時間、金錢和人力）來發現正在發生或已發生的網絡攻擊，又投入更多的資源去清除威脅時，新的攻擊卻隨時會突破防御并導致故態復萌。在此情況下，企業安全團隊該如何相信這種立足于檢測和響應的安全機制會變得更好，而不是變得更糟呢？當一種防護模式已被多次證明無力應對當下的安全威脅時，何不嘗試尋找其他的創新策略和思路呢？

主動安全防御的理念已經被提出多年，但是很多安全專家和研究人員對這個想法似乎已經不再抱有希望，因為由于攻擊在不斷變化，攻擊者有充分的時間和資源設計新的攻擊策略，以繞過防御、逃避檢測。因此，基于攔截攻擊這種思路所設計的主動網絡安全模型在實踐中的表現往往差強人意。

在此背景下，研究機構Gartner提出了一種基于威脅暴露面管理的主動式安全防御新思路。它并不關注攻擊事件本身，而是關注攻擊路徑，站在攻擊者的角度去思考攻擊可能發生在哪里，以及可能采用的攻擊戰術和實施手段，這個過程也叫風險搜尋。在識別和分析所有可能的威脅暴露點之后，就可以根據其脆弱程度和危害程度制定威脅暴露面管理計劃，從而系統性地解決數字化業務系統的安全隱患。因此，在Gartner給出的定義中，威脅暴露面管理并不是一種技術手段，而是下一代安全運營的創新模式。

威脅暴露面管理流程示意

大多數網絡攻擊都是需要入口的，如果企業的威脅暴露面消失了，那么攻擊行動在滲透之前就已經失敗了。暴露面管理不是為了解決在攻擊事件發生后如何快速發現和應急響應，而是通過關閉通往敏感目標的入侵途徑，來實現對其安全防護的效果。由于企業的數字化業務和資產在不斷變化中，因此對暴露面的管理工作也不是一勞永逸的，這是一種持續的方法和運營過程，需要經過安全專家的綜合分析，將合適的數據和技術結合起來，對各種暴露面進行合理排序，實現最優化的防護效果。

如果說基于威脅檢測和響應的傳統網絡安全模型是以加強防御為導向，那么暴露面管理或將顛覆傳統，因為它強調主動出擊，在攻擊發生前發現和修復暴露面，封堵可能被利用的攻擊路徑。通過主動管理暴露面來防止攻擊發生，有望改變目前網絡安全攻防對抗中的游戲規則。

威脅暴露面管理

暴露面管理的優點顯而易見，但其真正實現也并不容易，因為做好暴露面管理工作需要安全運營團隊長期投入大量時間、人員及其他資源，這比大多數安全團隊真正可利用的資源多得多。企業安全運營團隊也許能找到一些暴露面，但卻無力實施完整的堵住計劃。他們可能會關閉幾條攻擊途徑，但新的攻擊途徑卻在不斷產生。暴露面管理會成為一個理想卻不可能實現的概念嗎？

當企業希望在網絡安全建設中顛覆傳統時，必須認真思考可行性，并設立相關的行動標準和計劃。為了更好地將威脅暴露面管理付諸實踐，Gartner給出了一種務實且有效的系統化威脅管理方法論（Continuous Threat Exposure Management，CTEM），通過優先考慮高等級的潛在威脅處置，CTEM實現了不斷完善的安全態勢改進，將“修復和態勢改進”從暴露面管理計劃中分離，強調基于企業實際業務狀況改進安全威脅態勢的處置要求。同時，CTEM計劃的運作有特定的時間范圍，它遵循治理、風險和合規性的綜合要求，可為企業長期網絡安全管理戰略轉型提供決策支撐。

CTEM應用還處在不斷優化升級過程中，因此優化威脅暴露管理需要考慮3個關鍵要素：持續實施、系統框架和人工智能。威脅暴露面管理應該是一個持續的過程，這樣才可以保障威脅防御的效果；利用已確立的網絡安全框架，則可以充分享用最新且準確的威脅情報和處置經驗；而通過人工智能和自動化技術，能夠更有效地管理威脅暴露、避免人為錯誤。

在實施CTEM計劃時，企業需要讓暴露面管理評估成為一種常態，并將暴露面管理變成多層次的過程，包括：

風險搜尋，旨在隔離和預測可能存在的攻擊路徑；

危急評估，旨在按照風險級別和危害性對暴露面進行合理排序；

系統補救，旨在消除系統中存在的安全漏洞和不足；

設定目標，旨在使網絡風險管理與數字化發展目標協同一致。

當以上4個方面得到持續整合時，企業就可以應對不斷變化的攻擊環境中的各種威脅。CTEM方法有望能夠更好地阻止各種新型攻擊，但也需要清楚地認知，CTEM需要不同于以往的網絡安全專業知識支撐。

一些創新的網絡安全服務商正在嘗試將CTEM作為一種服務來提供，幫助企業用戶提供風險搜尋、評估和補救，以交付企業數字化業務發展所需的安全保障結果，在此過程中，服務商需要有專業的團隊和能力來幫助企業發現更多的潛在被攻擊路徑，并結合時間、人員和技術，實現暴露面管理。對于像暴露面管理這種高價值但資源密集型的工作，在一定程度上選擇服務外包是非常合理的，這讓更多的企業可以利用CTEM來實現主動安全防護能力，從而在應對攻擊者時占據上風。