數(shù)據(jù)孤島:安全運維面臨的最大挑戰(zhàn)
編輯:2023-06-21 15:07:13
設(shè)備多樣性、云應(yīng)用、遠程辦公、日益復(fù)雜的軟件供應(yīng)鏈,無一不在顯著擴大當(dāng)今的攻擊面。但盡管安全運營投資年年漲,大多數(shù)企業(yè)卻僅能投入資源解決自身環(huán)境里數(shù)百萬事件中的10%。
01 網(wǎng)絡(luò)資產(chǎn)管理
有很多方法可以創(chuàng)建所有資產(chǎn)及其相關(guān)風(fēng)險態(tài)勢的綜合清單:電子表格、“傳統(tǒng)”網(wǎng)絡(luò)掃描器和IT資產(chǎn)管理工具以及網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)平臺。
然而,取決于所選方法,團隊可能只關(guān)注“傳統(tǒng)”攻擊面,而沒有全面考慮分隔良好的典型去中心化多云現(xiàn)代網(wǎng)絡(luò)中存在的一切。盡管這一領(lǐng)域進展不斷,但仍建立在基于狀態(tài)的即時洞察上。因此,缺乏對攻擊行為的洞察影響到了其整體有效性。
02 威脅檢測與響應(yīng)
另一方面,威脅檢測與響應(yīng)工具分析網(wǎng)絡(luò)、用戶和機器行為,旨在幫助企業(yè)從對手的視角了解自身攻擊面。雖然安全信息與事件管理(SIEM)系統(tǒng)的數(shù)據(jù)質(zhì)量相當(dāng)可觀,但警報過載令團隊極其難以梳理并抽取出最相關(guān)的信息。
威脅檢測與響應(yīng)平臺通常只監(jiān)測“已知”資產(chǎn)的更改,而最大的威脅在于對未知資產(chǎn)的更改。所以,盡管在快速響應(yīng)和修復(fù)方面取得了長足的進步,但這些平臺還是發(fā)現(xiàn)不了典型軟件漏洞和錯誤配置之外的暴露。咨詢公司Gartner預(yù)測,到2026年,未修復(fù)攻擊面將從2022年不足企業(yè)總暴露的10%上升到超過一半。
03 第三方情報
有幾種方法可以衡量漏洞的潛在影響和可利用性,例如通用漏洞評分系統(tǒng)(CVSS)、漏洞利用預(yù)測評分系統(tǒng)(EPSS)和供應(yīng)商特定的評分系統(tǒng),CVSS是最常見的漏洞優(yōu)先級排序方法。
只依賴第三方指導(dǎo)的最大風(fēng)險在于沒考慮到企業(yè)的特殊需求。比如,安全團隊仍然不得不確定一堆“高?!甭┒矗ㄈ鏑VSS評分9.0+)中到底優(yōu)先修復(fù)哪些。
這種情況下,僅僅依靠這些定量方法是不可能作出明智決策的。資產(chǎn)所處位置等因素有助于團隊確定漏洞在公司環(huán)境中的可利用性,而其相互關(guān)聯(lián)可使團隊能夠了解波及范圍或整個潛在攻擊路徑。
04 業(yè)務(wù)洞察
從配置管理數(shù)據(jù)庫(CMDB)到控制措施,從依賴關(guān)系映射到數(shù)據(jù)湖,如果沒有內(nèi)部業(yè)務(wù)跟蹤系統(tǒng),這份資源清單就不完整。這些資源都是排序威脅和暴露優(yōu)先級的重要參考,因為它們能夠展示設(shè)備和漏洞之間的聯(lián)系以及整體業(yè)務(wù)關(guān)鍵性和依賴關(guān)系映射。
但盡管充實豐富,定制數(shù)據(jù)庫卻需要大量人工操作才能實現(xiàn)并保持更新。因此,考慮到現(xiàn)代企業(yè)環(huán)境變更的速度,這些定制數(shù)據(jù)庫很快就會過時,不再能夠準(zhǔn)確探查安全態(tài)勢的變化。
盡管上述每種數(shù)據(jù)源都有其自身的用途,能提供獨特的寶貴洞察,但沒有哪一種能獨自挑起勘破當(dāng)今復(fù)雜威脅形勢的重擔(dān)。也就是說,如果能綜合使用,這些數(shù)據(jù)源非常強大,能夠全面揭示有利位置,使團隊能夠作出更好、更明智的決策。
推動風(fēng)險知情決策所需的很多有價值洞察要么遺失在企業(yè)技術(shù)堆棧孤島中,要么阻塞在相互沖突的團隊和流程之間。盡管現(xiàn)代企業(yè)環(huán)境需要安全同步跟進,但沒有哪個工具或團隊可以獨立修復(fù)這一割裂的過程。
數(shù)世點評 安全主管需要根據(jù)自己的首主要例調(diào)整網(wǎng)絡(luò)資產(chǎn)情報。調(diào)整方式可以是根據(jù)第三方情報、業(yè)務(wù)上下文和資產(chǎn)關(guān)鍵性來安排漏洞優(yōu)先級排序過程,或者按照NIST網(wǎng)絡(luò)安全框架和CIS關(guān)鍵安全控制措施集(CIS Critical Security Controls)等特定控制框架使用其安全數(shù)據(jù),推進有效的安全改善計劃。
文章來源:彼得研究院
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號清控創(chuàng)新基地A座4層