明晰网络攻击面的这 10 个问题 用 5 步实现主动威胁管理

通过鼓励安全团队采用主动的风险管理心态,将会有效改善企业内、外部的安全态势,并可为企业长期安全管理战略的转变提供决策支撑。

640-32
出处:安全牛

网络攻击面已经成为现代企业的安全领导者重点关注的防护领域,根据Censys公司最新发布的《2023年企业安全领导力状况调查报告》数据显示,几乎所有(93%)的受访CISO都表示遭受过一次以上的网络攻击,而了解和管理组织的攻击面将是他们未来12个月中的首要任务,因为随着网络威胁态势的不断加剧,如果不能准确掌握组织内外部的所有资产及其中的脆弱性,就无法进行更有效地威胁防御工作。

随着数字化转型的深入发展,网络安全工作已经得到企业组织的高度重视。但是在很多企业中,还是将安全建设的重心放在如何响应和处置已经发生的安全事件上,这样的防护模式并不能减少企业未来面对的安全风险。在此背景下,研究机构Gartner提出,企业组织应该将网络安全工作的重心从被动事件响应转向主动威胁管理。

明晰网络攻击面的10个问题

研究人员同时发现,尽管很多企业已经开始高度关注网络攻击面的监测与管理,但是对自身网络攻击面的了解程度却远远不够。持续而准确地理解攻击面绝非易事,企业在正式开展攻击面管理工作之前,应该仔细思考以下10个问题:

1. 组织有哪些面向互联网的资产?

这是所有企业的安全负责人都需要能够明确回答的基础问题。企业只有知道所有数字资产的位置,才能更好地确定安全团队的注意力和资源分配到哪里。对于还没有部署应用攻击面管理解决方案的团队来说,往往很难回答出这个问题。因为与过去相比,“资产位于哪里”包含了更多的内容:固定IP地址正逐渐迁移至云端,越来越多的员工使用远程设备,位置的分散使安全团队难以准确地管理和清点自己的资产,这些挑战也引出了下一个重要的攻击面问题。

2. 在组织的攻击面上有哪些未知的资产?

企业的安全团队往往认为他们能够全面掌握组织的所有资产,但实际上,研究人员发现攻击面上占比约43%的资产是用户并不知道的,而这些未知或未管理的资产正是攻击者的主要攻击目标。报告研究发现,69%的组织承认因为未知资产被入侵而遭受了损失。如果企业不知道自己拥有什么,如何保护它呢?

3. 组织攻击面视图的更新频率是多少?

现代企业的数字资产每天都在变化,陈旧的数据无法驱动新一代威胁防护技术的应用。如果只是间歇性地或每周进行一次攻击面态势扫描,那么很多先进的安全防护措施将会难以落地实现。研究人员发现,互联网上的恶意扫描时间间隔平均为三分钟,相比之下,只有14%的企业组织会持续性地进行攻击面监控扫描。

4. 企业安全团队应该优先处理哪些风险?

尽管企业暴露的IT资产很多,但攻击者并不会对所有的资产漏洞都感兴趣,他们会从那些最容易被利用的弱点切入,进而攻破重要系统,造成数据泄露。因此,企业安全团队不能将时间和资源浪费在处理误报和低风险的事情上,而是要将有限的资源和精力,优先投入到防护最紧急的威胁。为了在高风险威胁爆发之前采取行动,企业需要回答哪些资产存在关键的暴露面,企业是否有足够的洞察力来确定风险处置的优先级?

5. 企业是否有云上所有资产的完整视图?

当前,多云和混合云的采用率仍然在持续上升,随着组织将更多业务资产迁移到多云环境中,而相应的安全管理能力却很难及时跟上。这会造成一些问题,因为未管理的云可能会导致影子 IT 的出现,从而为威胁行为者敞开大门。本次报告所调研的一家大型企业组织就表示,通过资产梳理后发现,有超过600个云资产是在他们监控之外的,比企业资产管理台账中记录的在线资产多出了80%。

6. 攻击面上是否存在安全合规性风险?

现在的企业组织在数字化发展过程中,都需要遵守大量的安全监管要求和法规,因为保持合规对业务稳定开展非常重要,否则将会面临数据泄露和监管罚款的风险。保持合规很大程度上取决于您能否有效地跟踪和监控那些处于网络攻击面上的暴露性资产。企业该如何获得确保合规性所需的全面和持续的资产可见性?企业是否具有自动化生成安全审计报告的能力?

7. 企业攻击面上的资产是如何相互连接的?

只有了解各类数字资产的连接方式,安全团队才能更好地识别网络中最容易受攻击者入侵的地方,如果攻击者可以通过网络中的一个资产间接攻击或损害其他的关键资产,他们就会不断尝试找到可行的攻击方法。毕竟,如果给予攻击者一点机会,他们就会乘虚而入。这也说明了为什么建立和应用零信任安全框架非常重要。

8. 企业的网络攻击面是如何变化的?

持续观察企业网络攻击面的变化,对企业建立良好的网络卫生环境非常重要:首先,企业能够以此来衡量攻击面可能扩大或缩小的程度。如果变化程度超出预想,那么跟踪这些变化可以为安全团队提出需要解决的问题;其次,了解资产的变化规律可以帮助安全团队更好地调查威胁,例如通过索引字段和多年积累的历史数据,获得攻击事件调查的更多背景信息。

9. 企业的网络攻击面上是否存在人为的错误配置?

报告研究人员发现,配置错误是企业网络环境中最常见的安全风险类型。事实上,当前企业所存在的网络风险中,60%都会和配置错误有关联。如果企业的安全团队准确知道配置错误存在的位置,就能够很容易地规避大量的风险隐患,但是前提是,安全团队需要能够知道配置错误究竟有多少,并且存在于什么地方。如果不能全面地了解网络攻击面,那么这些由于错误配置导致的安全风险就可能会长期存在,使攻击者有机可乘。

10. 企业分支机构的资产状况如何?是否会对组织构成风险?

在现代企业的发展中,经常遇到设立分公司或并购其他公司等情况。然而很多企业在开展网络安全防护工作时,往往忽略了分支机构或并购企业可能带来的网络安全风险。组织可能已经掌握了集团总部的攻击面对那些要收购的公司是否掌握了他们的攻击面呢?当并购活动完成后,一些原来未知的网络风险可能会使你的组织处于脆弱的境地。本次调查发现,40%的受访者表示在整合被收购公司的过程中发现了新的网络安全问题。

主动威胁管理的5个关键步骤

Gartner副总裁级分析师Jeremy D’Hoinne认为,通过鼓励安全团队采用主动的风险管理心态,将会有效改善企业内、外部的安全态势,并可为企业长期安全管理战略的转变提供决策支撑。因为主动威胁管理并不关注攻击事件本身,而是关注攻击路径,站在攻击者的角度去思考攻击可能发生在哪里,以及可能采用的攻击战术和实施手段。为了实现主动威胁管理的防护目标,组织需要完成以下五个关键步骤。

步骤1:界定组织的攻击面

云计算的快速应用,及远程办公方式的兴起,直接导致现代企业组织的网络攻击面迅速扩大,并导致联网架构出现越来越多的盲点。因此,要实现有效的网络威胁主动管理,首先要从界定组织的攻击面做起,全面跟踪数字化环境中所有变化的因素并及时清点数字化资产。界定攻击面的最终目的是,确保组织中没有暴露的资产未受监控,最大限度地消除安全盲点。

步骤2:持续进行资产发现

为了准确识别和界定攻击面,组织需要通过探测互联网数据集和证书数据库,或模拟攻击者的入侵方式,全面分析组织的数字资产,并针对所发现的安全缺口,寻找实用的应对方法。很多组织会将界定攻击面和资产发现相混淆,已发现的资产和漏洞的数量本身并不代表成功,基于业务风险和潜在影响准确地识别未知资产和新增资产对企业更加重要。做好主动威胁管理的基础是要持续量化资产暴露面和风险问题,并且提供针对性的治理。

步骤3:评估威胁优先级

尽管企业暴露的IT资产很多,但并不是所有的资产漏洞黑客都会感兴趣。攻击者通常会从一个最容易被利用的弱点切入,进而攻破重要系统,造成数据篡改、信息泄露、病毒勒索等安全事件的发生。对网络威胁进行优先级评估的目的不是为了解决资产上的每一个安全问题,而是要将有限的资源和精力,优先投入到防护最紧急的威胁。优先级的确定应该考虑以下因素:

  • 威胁的紧迫感;
  • 威胁的严重性与破坏性;
  • 相应安全控制措施的可用性;
  • 对相关威胁风险的容忍度;
  • 企业面临的风险等级。

步骤4:开展有效性验证

根据Gartner的定义,在主动威胁管理的要求中,会明确涉及威胁有效性验证的要求,因此企业的安全团队不能只聚焦于识别发现和评估通知的能力,同样应当具备攻击有效性验证核查以及收敛攻击面的能力。从技术角度,融合验证收敛能够提升识别验证与处置的效果,防止大范围误报、海量告警无从处理的情况发生。从管理角度,开展攻击有效性验证也保证了流程的闭环,避免只告警待整改、不整改的情况发生。

实践表明,攻击验证应当整合平台自动化验证以及安全服务涉及的专家验证,其中自动化验证能够尽速缩减验证范围,提升人员验证的效率;而专家验证可以基于自动化验证结果,也可基于专门场景。

步骤5:实施完善的威胁管理计划

主动威胁管理是一种更加务实且有效的系统化威胁管理方法,可以有效降低组织遭受网络安全攻击的可能性。通过优先考虑高等级的潜在威胁处置,CTEM实现了不断完善的安全态势改进,同时还强调有效改进安全态势的处置要求。主动威胁管理工作的开展需要一套完善的实施计划,并遵循治理、风险和合规性(GRC)的要求。

在实施主动威胁管理计划时,虽然自动化技术有助于解决一些明显或不明显的问题,但企业不能完全依赖它。企业应该将主动威胁管理计划传达给安全团队所有成员和其它部门的利益相关者,确保大家都已充分了解。实施完善的威胁管理接话,可以减少审批、实施过程或缓解部署等方面的障碍,确保团队将主动威胁管理中发现的问题及应对措施诸实施,并将跨团队的协同工作完整记录。

参考链接:

https://censys.com/can-you-answer-these-10-questions-about-your-attack-surface/
https://www.expresscomputer.in/guest-blogs/gartner-how-to-manage-cybersecurity-threats-not-episodes/103287/