曝險管理是主動式安全的未來

每週一,Tenable 曝險管理學院都會分享實用且貼近真實世界的指引,協助您從弱點管理成功轉向曝險管理。 在這篇貼文中,Verizon 整備與主動式安全部資深總監 Jorge Orchilles 將深入分享他決定轉向曝險管理的心路歷程。 您可以在此處閱讀完整的曝險管理學院系列文章。
隨著我們在 Verizon 將安全重點轉向主動式曝險管理,我們正在整合工具與團隊,專注於處理真實世界中可被刺探利用的風險。 我們在統一的策略下整合攻擊性安全功能,優先處理可被刺探利用的威脅並促進團隊協作,將焦點從合規導向的修復,轉為風險導向的修復。
大家都知道這種情況: 我們這些在安全領域的人,幾乎每天都在玩高風險的打地鼠遊戲 (Whac-a-mole®)。 我們窮盡心力追查弱點,並發布 (或回應) 像是「30 天內修補」或「紅色警戒,立即修補!」等指令。
但隨著攻擊破綻擴大、威脅來源日益精密,這種被動回應的作法已不敷使用。
在 Verizon 我們認識到,面對必須滿足企業、零售、行動領域技術人員等各種需求的異質環境,最好的解決方案並不是再拼湊一套各自為政的技術。 我們需要一個單一、整合的曝險管理平台,能夠涵蓋我們企業的每個角落。 實現這個目標的旅程打破了部門隔閡,並將我們的心態從合規導向轉變為風險導向。
重要的是,在我們考慮新技術之前,需要先讓擁有各自工具與優先事項的多個團隊,共同遵循共享的策略。
將各自獨立的工具整合為一
安全團隊總是得應付各種拼湊而來的工具: 各自獨立的工具分別用於攻擊破綻管理、資產能見度、 弱點掃描、 身分曝險和雲端安全。 在大多數公司裡,不同的團隊操作這些解決方案,而每一種都需要其專屬的專業知識。 起初,這種分工是為了確保由對的人,以對的技能,修復對的問題。
但這種各自為政的做法會減慢回應時間並產生盲點,可能導致關鍵性弱點因超出某團隊的專業領域而未獲處理。 您無法在各自為政的環境下作攻擊路徑分析!
我不想只做勾選方塊了事的工作。
我們需要能優先處理真實世界風險,而非窮於應付每個弱點的安全計畫。 而在這個過程中,我們清楚地看到,整合式方法的價值遠遠超過特定功能的優勢。
因此,為應對這些挑戰,我們選擇整合至單一平台:Tenable One。
管理變革的關鍵: 一點 Dale Carnegie 的智慧
儘管選對平台是一切關鍵所在,但實施曝險管理不僅是技術問題。 更是企業層面的挑戰。 啟動曝險管理方案代表必須轉移關鍵、各自為政的安全職能所有權,這可能需要團隊以前所未有的方式一起合作。
舉例來說,在 Verizon,攻擊破綻管理之前是由獨立團隊負責。 現在,這些成員都已納入我的團隊。 負責執行 Bloodhound 等身分曝險工具的 Active Directory 團隊仍維持獨立,但我們密切合作,讓他們視安全洞察為有價值的資訊,而非追究責任的工具。
之前使用不同工具組的物聯網 (IoT) 和操作技術 (OT) 安全專家,現在都在同一個架構下工作。
對習慣各自為政的安全團隊而言,現在必須共享資料與決策,無疑是一大挑戰。 我發現克服這個問題的關鍵是透明化與夥伴關係。
事實上,定期閱讀一點 Dale Carnegie 的著作,就跟每天看 Brian Krebs 的文章一樣重要。
因此,為順利過渡,我們不採由上而下的強制命令,而是著重於建立團隊共識。我們透過設定共享目標、清晰溝通,並在初期就展現出計畫的價值來達成此目的。 透過從一開始就讓身分安全、IT 營運和雲端安全等領域的利害關係人參與,我們確保這場變革並非外力強加,而是由他們主動形塑並支援。
我想強調,這一切並非一蹴可幾。
這需要高層的首肯支持與周詳的規劃。 這些團隊不只是被要求使用新工具,更是被要求改變他們的工作方式。 要讓這次轉型成功,唯一方法就是向團隊成員證明,這種新做法能讓他們的工作更輕鬆,而不是更困難。
別再試圖修復所有問題
曝險管理最大的心態轉變之一,就是認知到並非每個弱點都需要立即修補。 當然,這可能很難讓人馬上理解。 但當所有事情都十萬火急時,就沒有一件事是真正緊急的了。 而這種做法只會導致筋疲力盡、效率低落,以及更多的曝險。
因此,在 Verizon,我們專注於處理那些真正可被刺探利用,且存在於實際攻擊路徑上的弱點。
所以,如果某個應用程式有關鍵性弱點,但攻擊者沒有可行途徑來觸及它,那它真的該是最高優先順序嗎? 另一方面,如果有弱點提供直達核心資產的路徑,我們就需要立即處理。
關鍵在於根據真實世界的攻擊情境來排定優先順序,而非任意的嚴重性分數。
與高階主管的溝通之道
曝險管理的另一項關鍵優勢,在於它如何改變在高階主管層級的安全對話。 我們不再提交冗長的弱點清單,因為這對非技術背景的領導者而言意義不大。取而代之的是,我們用幾個關鍵點呈現清晰樣貌:
- 有哪些風險?
- 攻擊者可能如何入侵?
- 最急需修復的優先項目是什麼?
而當重大弱點來襲時,我們不必手忙腳亂地確認是否受到影響。 相關資料我們信手拈來。 這就是曝險管理的真正價值: 速度、清晰度,以及在攻擊者行動前應對的能力。
網路安全的未來是主動式曝險管理
曝險管理的核心,就是從被動式安全轉向主動式安全。 這不再只是修復弱點。 更是要從業務的角度來理解風險。
隨著越來越多企業朝這個方向邁進,曝險管理也將持續演進。
供應商正在整合,團隊正在重組,而安全領導者們也意識到,一次修補所有地方的所有弱點是不可能的任務。
因此,整個產業必須像 Verizon 一樣,專注於真正重要的事情上: 預防那些真正可能導致入侵的攻擊。
對於我們這些身處這次轉型浪潮尖端的人來說,是時候停止被動回應,並開始將曝險當成策略性風險來管理了。
聽聽 Jorge 分享下一步的致勝關鍵

深入瞭解
- 閱讀安全領導者曝險管理策略指南,這套經過驗證的務實指南,將引導您如何成功建立曝險管理方案,內容更涵蓋了範疇界定、利害關係人溝通,以及取得內部支持的關鍵建議。
Whac-a-Mole 是 Mattel Inc. 的註冊商標。
- Exposure Management
- Exposure Management Academy