本文来自微信公众号“数世咨询”,作者/nana。
设备多样性、云应用、远程办公、日益复杂的软件供应链,无一不在显著扩大当今的攻击面。但尽管安全运营投资年年涨,大多数企业却仅能投入资源解决自身环境里数百万事件中的10%。
数世咨询指出,安全与风险主管需要讲求实际,关注可能给企业带来最大风险的那一小部分暴露。安全团队已经拥有了支持风险驱动的漏洞优先级排序所需的情报,但若想充分利用已有洞察的全部潜力,他们必须先打破现有数据孤岛造成的障碍。
从自治网络和漏洞扫描器到人工电子表格,数据生态中的所有东西都在产生数据。各团队必须了解每个要素在优先级决策过程中发挥的作用,想要探索每种资源的优势、弱点和机会,就需要考虑威胁和暴露管理生命周期。以下是安全运维(SecOops)面临的4大数据孤岛:
01
网络资产管理
有很多方法可以创建所有资产及其相关风险态势的综合清单:电子表格、“传统”网络扫描器和IT资产管理工具以及网络资产攻击面管理(CAASM)平台。
然而,取决于所选方法,团队可能只关注“传统”攻击面,而没有全面考虑分隔良好的典型去中心化多云现代网络中存在的一切。尽管这一领域进展不断,但仍建立在基于状态的即时洞察上。因此,缺乏对攻击行为的洞察影响到了其整体有效性。
02
威胁检测与响应
另一方面,威胁检测与响应工具分析网络、用户和机器行为,旨在帮助企业从对手的视角了解自身攻击面。虽然安全信息与事件管理(SIEM)系统的数据质量相当可观,但警报过载令团队极其难以梳理并抽取出最相关的信息。
威胁检测与响应平台通常只监测“已知”资产的更改,而最大的威胁在于对未知资产的更改。所以,尽管在快速响应和修复方面取得了长足的进步,但这些平台还是发现不了典型软件漏洞和错误配置之外的暴露。咨询公司Gartner预测,到2026年,未修复攻击面将从2022年不足企业总暴露的10%上升到超过一半。
03
第三方情报
有几种方法可以衡量漏洞的潜在影响和可利用性,例如通用漏洞评分系统(CVSS)、漏洞利用预测评分系统(EPSS)和供应商特定的评分系统,CVSS是最常见的漏洞优先级排序方法。
只依赖第三方指导的最大风险在于没考虑到企业的特殊需求。比如,安全团队仍然不得不确定一堆“高危”漏洞(如CVSS评分9.0+)中到底优先修复哪些。
这种情况下,仅仅依靠这些定量方法是不可能作出明智决策的。资产所处位置等因素有助于团队确定漏洞在公司环境中的可利用性,而其相互关联可使团队能够了解波及范围或整个潜在攻击路径。
04
业务洞察
从配置管理数据库(CMDB)到控制措施,从依赖关系映射到数据湖,如果没有内部业务跟踪系统,这份资源清单就不完整。这些资源都是排序威胁和暴露优先级的重要参考,因为它们能够展示设备和漏洞之间的联系以及整体业务关键性和依赖关系映射。
但尽管充实丰富,定制数据库却需要大量人工操作才能实现并保持更新。因此,考虑到现代企业环境变更的速度,这些定制数据库很快就会过时,不再能够准确探查安全态势的变化。
尽管上述每种数据源都有其自身的用途,能提供独特的宝贵洞察,但没有哪一种能独自挑起勘破当今复杂威胁形势的重担。也就是说,如果能综合使用,这些数据源非常强大,能够全面揭示有利位置,使团队能够作出更好、更明智的决策。
推动风险知情决策所需的很多有价值洞察要么遗失在企业技术堆栈孤岛中,要么阻塞在相互冲突的团队和流程之间。尽管现代企业环境需要安全同步跟进,但没有哪个工具或团队可以独立修复这一割裂的过程。
