风险暴露管理就是主动安全的未来
每周一,Tenable 风险暴露管理学院都会提供实用、贴合实际的指导,帮助企业从漏洞管理转向风险暴露管理。 在本文中,Verizon 就绪与主动安全高级总监 Jorge Orchilles 近距离分享了促使他转向风险暴露管理的思考过程。 您可以在这里阅读风险暴露管理学院完整的系列文章。
在 Verizon,随着我们将安全重心转向主动风险暴露管理,我们正在整合工具和团队,聚焦于应对现实世界中可利用的风险。 通过将攻击性安全职能整合到统一战略之下,对可利用的威胁进行优先级分析,并促进协作,我们正将重心从基于合规的修复措施转向基于风险的修复措施。
大家都知道这种情况: 我们这些从事网络安全工作的人,几乎每天都在玩一场高风险的“打地鼠 (Whac-a-mole®)”游戏。 我们一辈子都在追查漏洞,发布(或响应)“30 天内完成补丁修复”或“紧急情况,立即打补丁!”之类的指令。
但随着攻击面不断扩大,威胁制造者变得越来越老练,这种被动应对的方式已经不够用了。
在 Verizon,我们认识到,面对如此多样化的环境,要满足企业、零售、移动现场技术人员等多方面的不同需求,最佳解决方案不能是再增加一堆分散的技术。 我们需要一个单一、整合的风险暴露管理平台,能够覆盖企业的各个角落。 实现这一目标的过程打破了部门壁垒,并将我们的思维模式从合规驱动转向了风险导向。
重要的是,在考虑采用新技术之前,我们需要让多个团队(每个团队都各自拥有不同工具和优先事项)在一个共同的战略下协同工作。
将分散的工具整合为一体
安全团队一直都在使用各种零散的工具: 用于攻击面管理、资产可见性、漏洞扫描、身份风险暴露和云安全的工具各不相同。 在大多数公司,这些解决方案由不同的团队操作,每个解决方案都需要特定的专业知识。 这种分散的做法本意是确保由具备相应技能的人员去解决对应的问题。
但这种各自为政的方式减慢了响应速度,还造成了盲点,一些关键漏洞可能因为超出某个团队的专业领域而得不到处理。 在各自为政的情况下,根本无法进行攻击路径分析!
我不想只是做些表面功夫。
我们需要建立一个安全计划,对现实世界中的风险进行优先级分析,而不是致力于修复所有漏洞。 在这一过程中,很明显,整合方法的价值超过了那些小众功能的优势。
因此,为了应对这些挑战,我们选择整合到一个单一平台:Tenable One。
管理变革的关键: 借鉴一点 Dale Carnegie 的智慧
虽然合适的平台至关重要,但实施风险暴露管理并非纯粹的技术问题。 还涉及企业层面的问题。 启动风险暴露管理计划意味着要改变关键的、各自为政的安全职能的归属,这可能需要团队以从未有过的方式开展合作。
例如,在 Verizon,攻击面管理以前由一个单独的团队负责。 现在,这些人员成为了我团队的一部分。 运行 Bloodhound 这类身份风险暴露工具的 Active Directory 团队仍然保持独立,但我们密切合作,让他们觉得这些安全洞察是有价值的,而不是惩罚性的。
以前使用不同工具集的物联网 (IoT) 和运营技术 (OT) 安全专家,现在都在同一个框架内工作。
习惯了各自为政的安全团队现在必须共享数据并共同决策,这可能是一个艰难的调整过程。 我发现,克服这一困难的关键在于透明度和合作精神。
事实上,经常读一点 Dale Carnegie 的著作,可能和每天看 Brian Krebs 的文章一样重要。
因此,为了使过渡更加顺利,我们没有自上而下地发号施令,而是专注于通过共同的目标、清晰的沟通以及在过程早期展示其价值来协调各个团队。 从一开始就让身份安全、IT 运营和云安全等领域的利益相关者参与进来,确保变革不是强加给他们的,而是他们积极参与塑造和支持的事情。
我想强调的是,这一切都不是一蹴而就的。
这需要高层的支持和周密的计划。 这些团队不仅被要求使用新工具,还被要求改变工作方式。 要使这一转变取得成功,唯一的方法是向团队成员展示这种方法会让他们的工作更轻松,而不是更困难。
不要试图修复所有问题
风险暴露管理带来的最大思维转变之一,是认识到并非所有漏洞都需要立即修补。 当然,这可能让人难以理解。 但当所有事情都被视为至关重要时,就等于没有真正的重点了。 这种做法只会导致倦怠、效率低下和更多的风险暴露。
相反,在 Verizon,我们专注于那些实际可利用且存在于现实攻击路径中的漏洞。
所以,如果某个应用程序存在一个严重漏洞,但攻击者没有可行的方法触及它,那它真的应该成为首要修复的任务吗? 另一方面,如果某个漏洞提供了一条直达核心资产的路径,我们就需要立即处理。
关键在于根据现实世界的攻击场景进行优先级分析,而不是基于随意设定的严重性评分。
与高管层协作
风险暴露管理的另一个关键优势在于,它改变了与高管层就安全问题的对话方式。 我们不再向非技术出身的领导层提交一长串他们难以理解的漏洞清单,而是可以通过几个关键点清晰地呈现情况:
- 哪些资产面临风险?
- 攻击者可能如何入侵?
- 最紧迫需要修复的优先事项是什么?
当出现重大漏洞时,我们不必手忙脚乱地去弄清楚自己是否受到影响。 我们随时都能掌握相关数据。 这就是风险暴露管理的真正价值: 速度、清晰度,以及在攻击者行动之前采取措施的能力。
网络安全的未来就是主动风险暴露管理
风险暴露管理的核心是从被动安全转向主动安全。 它不再仅仅是修复漏洞。 而是要结合业务上下文理解风险。
随着越来越多的企业朝着这个方向发展,风险暴露管理将不断演变。
供应商整合正在进行中,团队正在重组,安全领导者们逐渐意识到,一次性修补所有地方的所有漏洞是一项不可能完成的任务。
因此,就像 Verizon 一样,整个行业必须聚焦于真正重要的事情: 预防那些可能真正导致数据泄露的攻击。
对于我们这些处在这一转变前沿的人来说,是时候停止被动应对,开始将风险暴露作为一种战略风险来管理了。
Jorge 分享了企业接下来应该关注的重点
了解详情
- 阅读面向安全领导者的风险暴露管理策略指南,用一种经验证的务实方法来制定风险暴露管理计划,以及获取确定计划范围、让利益相关者参与其中并获取支持的建议。
“打地鼠 (Whac-a-Mole)” 是 Mattel Inc. 的注册商标。
Jorge Orchilles
Verizon 就绪与主动安全高级总监
Jorge Orchilles 是网络安全领域的领导者,目前担任 Verizon 的高级总监,负责领导就绪与主动安全团队(风险暴露与漏洞管理、渗透测试、红队以及一个专门的紫队)。 他是紫队演练框架的作者,也是 C2 矩阵项目的创建者。 在加入 Verizon 之前,他曾在 SCYTHE 担任三年 CTO,并在花旗集团领导进攻性安全团队超过 10 年。
相关文章
Identity-First Security: Mitigating the Cloud’s Greatest Risk Vector
Compromised credentials are now the leading cause of cloud breaches, making identity your most critical attack surface. A new IDC white paper explores why this shift is happening and where traditional defenses fall short. Read on to learn how Tenable's identity-first approach turns this risk into…
Building a Cloud Security Strategy with AWS Native Tools
Are you an Amazon Web Services customer looking to build a cloud security strategy? If so, you’ve got an array of choices. Learn about their strengths and gaps — and why you need to augment them with a CNAPP like Tenable Cloud Security.
Frequently Asked Questions About Chinese State-Sponsored Actors Compromising Global Networks
An analysis of Tenable telemetry data shows that the vulnerabilities being exploited by Chinese state-sponsored actors remain unremediated on a considerable number of devices, posing major risk to the organizations that have yet to successfully address these flaws.
- Exposure Management
- Exposure Management Academy