CTEM這一概念由Gartner在2022年首次提出��,旨在為企業(yè)提供一種結構化的方法,持續(xù)評估����、優(yōu)先處理����、驗證和修復組織攻擊面上的暴露點,使企業(yè)能夠迅速應對最關鍵的風險�����。該框架的提出,幫助企業(yè)在面對日益擴大的攻擊面時更加游刃有余�����。
2024年��,安全運營(SecOps)領域迎來重大變革����。根據(jù)Gartner最新發(fā)布的《安全運營技術成熟度曲線》報告����,持續(xù)威脅暴露管理(CTEM)到達炒作周期的頂峰,Gartner為該概念增加了三個新興類別:威脅暴露管理(Threat Exposure Management)��、暴露評估平臺(Exposure Assessment Platforms,EAP)以及對抗性暴露驗證(Adversarial Exposure Validation,AEV)��。
2024年安運營炒作周期圖
CTEM這一概念由Gartner在2022年首次提出��,旨在為企業(yè)提供一種結構化的方法�����,持續(xù)評估、優(yōu)先處理����、驗證和修復組織攻擊面上的暴露點,使企業(yè)能夠迅速應對最關鍵的風險���。該框架的提出�����,幫助企業(yè)在面對日益擴大的攻擊面時更加游刃有余���。
CTEM新類別的定義為不斷演變的暴露管理技術領域提供了結構化指導,有助于企業(yè)識別最適合支持CTEM實施的安全廠商��。
以下是對新類別及相關產(chǎn)品的解讀�����,及其對企業(yè)安全領導者的意義�����。
威脅暴露管理的兩大新類別
威脅暴露管理是CTEM框架的核心,涵蓋了管理威脅暴露所需的所有技術和流程����,并包括了以下兩個新興類別:
暴露評估平臺(EAP):該類別融合了傳統(tǒng)的漏洞評估和漏洞優(yōu)先級技術,旨在簡化漏洞管理并提升運營效率��。Gartner將其評為高效益類別�����,正是因為EAP能夠大幅提升企業(yè)在應對漏洞方面的能力��。
對抗性暴露驗證(AEV):該類別將漏洞和攻擊模擬(BAS)與自動化滲透測試和紅隊演練合并���,提供連續(xù)的、自動化的暴露證據(jù)�����。AEV通過模擬現(xiàn)實中的攻擊技術驗證企業(yè)的網(wǎng)絡韌性����,預期將迎來顯著的市場增長。
EAP:減少對CVSS的依賴
EAP不僅能夠減少對CVSS評分的依賴�����,還能提供更加上下文化的數(shù)據(jù),使漏洞優(yōu)先級的確定更加精準�����。CVSS評分固然有用����,但它只是一個指標,無法告訴你在具體環(huán)境和威脅態(tài)勢下漏洞的可利用性��。而EAP則結合了威脅情報和資產(chǎn)重要性信息���,使得企業(yè)能夠聚焦于實際對業(yè)務構成風險的漏洞�����,而不僅僅是可利用的漏洞���。
此外,EAP還能幫助企業(yè)識別業(yè)務風險�����,確保安全團隊將精力放在那些可能對關鍵業(yè)務資產(chǎn)產(chǎn)生重大影響的漏洞上,而不是無關緊要的系統(tǒng)配置問題��。
AEV:鎖定現(xiàn)實威脅
盡管EAP能夠提供暴露的上下文信息��,但它們?nèi)匀痪窒抻诶碚摂?shù)據(jù)分析�����,缺乏實際可利用攻擊路徑的證據(jù)�����。而AEV通過模擬對抗性攻擊��,確認哪些安全漏洞在特定環(huán)境中真正可被利用����,并評估攻擊者在成功利用漏洞后能夠走多遠。
簡單來說��,AEV可在廣泛的理論威脅中鎖定現(xiàn)實威脅����。
AEV的另一個優(yōu)勢在于����,它讓紅隊演練變得更加容易��。紅隊需要獨特的技能和工具��,而這些通常難以獲取����。使用自動化AEV產(chǎn)品可以幫助企業(yè)降低進入門檻����,提供一個不錯的基準,讓紅隊能夠?qū)W⒂诟邇?yōu)先級領域����。
AEV還可以使龐大的攻擊面變得更加可控。通過自動化測試�����,安全團隊可以定期��、持續(xù)地在多個地點執(zhí)行測試����,減輕安全人員的負擔���。
CTEM實施面臨的挑戰(zhàn)與應對策略
盡管CTEM框架為企業(yè)帶來了諸多優(yōu)勢,但在實施過程中仍然面臨一些挑戰(zhàn)�����。
在EAP方面�����,企業(yè)需要超越合規(guī)和CVSS評分的思維定勢����。僅將評估視為勾選清單式的活動,會導致企業(yè)忽視漏洞的可利用性和潛在影響之間的差異�����。
在AEV方面�����,找到覆蓋全面的技術解決方案也是一大難題����。雖然許多廠商提供攻擊模擬或自動化滲透測試功能,但這些功能通常被視為獨立的模塊��。對于那些希望驗證安全控制有效性和安全漏洞可利用性的企業(yè)來說����,可能需要分別實施多個產(chǎn)品。
主動風險管理的新時代
自兩年前CTEM框架問世以來�����,企業(yè)對主動風險暴露管理的需求日益增長����。此次Gartner的技術成熟度曲線中呈現(xiàn)的新分類,反映了這一領域產(chǎn)品的日趨成熟��,推動了CTEM框架的實際應用���。
在選擇AEV產(chǎn)品時��,建議企業(yè)尋找能夠無縫整合BAS和滲透測試功能的解決方案�����,因為大多數(shù)工具并不具備這一特點���。優(yōu)先選擇無代理技術�����,可以準確模擬攻擊者手法����,同時降低運營負擔����。這種獨特的組合確保了安全團隊能夠持續(xù)驗證企業(yè)的安全狀態(tài),并且具有真實的攻擊相關性��。
