網路攻擊者善於找出最具成本效益的攻擊方式,這突顯了組織必須實施資產識別並了解其資產的安全狀況,以應對整體網路環境的重要性。
資安風險管理(exposure management)
組織不應該問「我們是否有曝露的風險?」,而是應該問「我們有多大的曝露風險?」。為了了解這個問題,企業必須實施有計劃且可重複的方法,設身處地思考自己是攻擊者,從敵對的角度看待自己的網路。
網路安全現狀
網路攻擊可能會侵入網路的任何部分。因此,公司實施了多重安全控制措施、工具和流程來保護網路。安全工作通常被劃分為滲透測試、威脅情報管理和漏洞掃描等獨立活動。然而,這種分割方式對於了解組織面臨的全面風險提供有限的見解。
這種情況,加上缺乏全面的風險優先排序,使得組織不知所措,無法確定應該先處理哪些問題。組織需要系統性和一致的策略來衡量自身的曝露程度。這意味著將重點轉移到考慮攻擊者角度和質疑防禦措施以及應對攻擊計劃的關鍵問題上。
了解攻擊者的觀點對於找出漏洞、告知安全團隊首先應該採取何種安全措施以及需要何種額外的安全控制措施至關重要。從攻擊者的角度認識漏洞,可以使組織主動提高自身的安全水平。這是一個基本原則 - 可見性是保護的前提。如果看不到攻擊者如何侵入組織,保護組織就變成一項假設性的任務。
全面的安全方法
現代組織的IT生態系統包括一系列資產,從身份和工作站到雲端服務,每一個都可能成為漏洞和配置錯誤的來源,被利用來損害組織的運營和資產。這種情況在混合環境中尤為突出,在這種環境中雲端和內部資產相互融合,缺乏明確的界限,大大降低了可見性和控制能力。
隨著組織的發展,其攻擊面不可避免地會隨著新的互連資產的整合而擴大,增加了複雜性。這種擴張的複雜性進一步加劇,因為外部威脅環境不斷轉變,包括由人工智能驅動的新興威脅。
另外,還有隱形IT - 未經授權的IT系統和解決方案在中央IT部門之外運行。這不僅增加了業務和合規風險,而且也使安全管理環境更加複雜。
資產的互連性以及不斷發展的威脅,為安全管理人員有效管理組織的安全狀況造成了巨大挑戰。每個未解決的漏洞都可能成為攻擊者進一步渗透的通道,進而危及更多的資產或數據。
攻擊路徑和動態威脅環境
將常見的漏洞、洩露的憑據或配置錯誤的安全設置串聯起來,以穿越整個環境並獲取組織資產的攻擊路徑代表了重大威脅。這些攻擊路徑通常隱藏在複雜的網路生態系統中。因此,安全團隊通常無法全面了解組織面臨的潛在威脅,使他們無法為可能導致勒索軟件部署的混合攻擊做好準備。
面對像勒索軟件這樣的高風險威脅,主動提高組織的安全水平是一項艱鉅的任務,就像是一場無休止的修補漏洞戰役,覆蓋不斷擴大的資產清單。這項複雜的任務超出了簡單的修補管理能力,需要採取戰略方法。
最終,對於優先順序和風險的範圍和理解不足,加上大量的發現,導致組織在處理曝露問題上有太多要做而缺乏指引。這就是為什麼組織需要一種解決「我們有多大的曝露風險?」問題的方法。
什麼是資安風險管理?
資安風險管理承認,組織無法保護其運營的每一個方面。它優先保護關鍵領域,在最需要的地方集中安全工作。
面對數以千計的漏洞需要解決,安全團隊面臨巨大的挑戰,尤其是自動化系統可以比修補系統更快地發現弱點。
此外,組織可能會先略過某些安全措施,以獲得快速收益,但隨後面臨重大風險。這種戰略方法確保資源得到有效分配,重點是保護組織最脆弱和最關鍵的部分。
通過調整優先事項,組織可以回答三個關鍵問題:
1. 從攻擊者的角度看,我的組織是什麼樣子?
2. 我的環境中哪些部分最容易遭到攻擊?
3. 如果攻擊者能夠破壞這些攻擊路徑,會造成什麼影響?
通過回答這三個問題,安全團隊可以更好地確定工作優先順序,立即解決關鍵的安全風險。
資安風險管理的好處
資安風險管理的重點是優化安全措施,以更好地抵禦威脅。其主要目標是強調和加固組織最脆弱的環節,作為首要任務。這個過程對於設定優先順序很關鍵;當無法完全遵守每一項政策或衡量每一個指標時,重點轉向密封攻擊者的潛在切入點。
這個過程通常從評估外部安全狀況開始,包括模擬攻擊者對組織的潛在行動。這可能涉及採用「紅隊」演習,使用攻擊性網路安全戰術來發現安全弱點。
這種方法的一個關鍵好處是,它可以突出可能被利用的攻擊向量,使公司能夠預先解決這些弱點。當資源緊張時,這尤其有價值。
通過最初關注最關鍵的漏洞,公司可以爭取時間,同時開始或繼續奠定全面安全策略的堅實基礎,從一開始就提高組織的防禦能力。
詳情請看:
How exposure management elevates cyber resilience