曝險管理是主動式安全的未來
每週一,Tenable 曝險管理學院都會分享實用且貼近真實世界的指引,協助您從弱點管理成功轉向曝險管理。 在這篇貼文中,Verizon 整備與主動式安全部資深總監 Jorge Orchilles 將深入分享他決定轉向曝險管理的心路歷程。 您可以在此處閱讀完整的曝險管理學院系列文章。
隨著我們在 Verizon 將安全重點轉向主動式曝險管理,我們正在整合工具與團隊,專注於處理真實世界中可被刺探利用的風險。 我們在統一的策略下整合攻擊性安全功能,優先處理可被刺探利用的威脅並促進團隊協作,將焦點從合規導向的修復,轉為風險導向的修復。
大家都知道這種情況: 我們這些在安全領域的人,幾乎每天都在玩高風險的打地鼠遊戲 (Whac-a-mole®)。 我們窮盡心力追查弱點,並發布 (或回應) 像是「30 天內修補」或「紅色警戒,立即修補!」等指令。
但隨著攻擊破綻擴大、威脅來源日益精密,這種被動回應的作法已不敷使用。
在 Verizon 我們認識到,面對必須滿足企業、零售、行動領域技術人員等各種需求的異質環境,最好的解決方案並不是再拼湊一套各自為政的技術。 我們需要一個單一、整合的曝險管理平台,能夠涵蓋我們企業的每個角落。 實現這個目標的旅程打破了部門隔閡,並將我們的心態從合規導向轉變為風險導向。
重要的是,在我們考慮新技術之前,需要先讓擁有各自工具與優先事項的多個團隊,共同遵循共享的策略。
將各自獨立的工具整合為一
安全團隊總是得應付各種拼湊而來的工具: 各自獨立的工具分別用於攻擊破綻管理、資產能見度、 弱點掃描、 身分曝險和雲端安全。 在大多數公司裡,不同的團隊操作這些解決方案,而每一種都需要其專屬的專業知識。 起初,這種分工是為了確保由對的人,以對的技能,修復對的問題。
但這種各自為政的做法會減慢回應時間並產生盲點,可能導致關鍵性弱點因超出某團隊的專業領域而未獲處理。 您無法在各自為政的環境下作攻擊路徑分析!
我不想只做勾選方塊了事的工作。
我們需要能優先處理真實世界風險,而非窮於應付每個弱點的安全計畫。 而在這個過程中,我們清楚地看到,整合式方法的價值遠遠超過特定功能的優勢。
因此,為應對這些挑戰,我們選擇整合至單一平台:Tenable One。
管理變革的關鍵: 一點 Dale Carnegie 的智慧
儘管選對平台是一切關鍵所在,但實施曝險管理不僅是技術問題。 更是企業層面的挑戰。 啟動曝險管理方案代表必須轉移關鍵、各自為政的安全職能所有權,這可能需要團隊以前所未有的方式一起合作。
舉例來說,在 Verizon,攻擊破綻管理之前是由獨立團隊負責。 現在,這些成員都已納入我的團隊。 負責執行 Bloodhound 等身分曝險工具的 Active Directory 團隊仍維持獨立,但我們密切合作,讓他們視安全洞察為有價值的資訊,而非追究責任的工具。
之前使用不同工具組的物聯網 (IoT) 和操作技術 (OT) 安全專家,現在都在同一個架構下工作。
對習慣各自為政的安全團隊而言,現在必須共享資料與決策,無疑是一大挑戰。 我發現克服這個問題的關鍵是透明化與夥伴關係。
事實上,定期閱讀一點 Dale Carnegie 的著作,就跟每天看 Brian Krebs 的文章一樣重要。
因此,為順利過渡,我們不採由上而下的強制命令,而是著重於建立團隊共識。我們透過設定共享目標、清晰溝通,並在初期就展現出計畫的價值來達成此目的。 透過從一開始就讓身分安全、IT 營運和雲端安全等領域的利害關係人參與,我們確保這場變革並非外力強加,而是由他們主動形塑並支援。
我想強調,這一切並非一蹴可幾。
這需要高層的首肯支持與周詳的規劃。 這些團隊不只是被要求使用新工具,更是被要求改變他們的工作方式。 要讓這次轉型成功,唯一方法就是向團隊成員證明,這種新做法能讓他們的工作更輕鬆,而不是更困難。
別再試圖修復所有問題
曝險管理最大的心態轉變之一,就是認知到並非每個弱點都需要立即修補。 當然,這可能很難讓人馬上理解。 但當所有事情都十萬火急時,就沒有一件事是真正緊急的了。 而這種做法只會導致筋疲力盡、效率低落,以及更多的曝險。
因此,在 Verizon,我們專注於處理那些真正可被刺探利用,且存在於實際攻擊路徑上的弱點。
所以,如果某個應用程式有關鍵性弱點,但攻擊者沒有可行途徑來觸及它,那它真的該是最高優先順序嗎? 另一方面,如果有弱點提供直達核心資產的路徑,我們就需要立即處理。
關鍵在於根據真實世界的攻擊情境來排定優先順序,而非任意的嚴重性分數。
與高階主管的溝通之道
曝險管理的另一項關鍵優勢,在於它如何改變在高階主管層級的安全對話。 我們不再提交冗長的弱點清單,因為這對非技術背景的領導者而言意義不大。取而代之的是,我們用幾個關鍵點呈現清晰樣貌:
- 有哪些風險?
- 攻擊者可能如何入侵?
- 最急需修復的優先項目是什麼?
而當重大弱點來襲時,我們不必手忙腳亂地確認是否受到影響。 相關資料我們信手拈來。 這就是曝險管理的真正價值: 速度、清晰度,以及在攻擊者行動前應對的能力。
網路安全的未來是主動式曝險管理
曝險管理的核心,就是從被動式安全轉向主動式安全。 這不再只是修復弱點。 更是要從業務的角度來理解風險。
隨著越來越多企業朝這個方向邁進,曝險管理也將持續演進。
供應商正在整合,團隊正在重組,而安全領導者們也意識到,一次修補所有地方的所有弱點是不可能的任務。
因此,整個產業必須像 Verizon 一樣,專注於真正重要的事情上: 預防那些真正可能導致入侵的攻擊。
對於我們這些身處這次轉型浪潮尖端的人來說,是時候停止被動回應,並開始將曝險當成策略性風險來管理了。
聽聽 Jorge 分享下一步的致勝關鍵
深入瞭解
- 閱讀安全領導者曝險管理策略指南,這套經過驗證的務實指南,將引導您如何成功建立曝險管理方案,內容更涵蓋了範疇界定、利害關係人溝通,以及取得內部支持的關鍵建議。
Whac-a-Mole 是 Mattel Inc. 的註冊商標。
Jorge Orchilles
Verizon 整備與主動式安全部資深總監
Jorge Orchilles 是安全領域的領導者,目前擔任 Verizon 的資深總監,負責整備與主動式安全團隊 (含曝險與弱點管理、滲透測試、紅隊演練,以及專職的紫隊)。 他是紫隊演練框架的作者,也是 C2 Matrix 專案的建立者。 在加入 Verizon 之前,他曾擔任 SCYTHE 的技術長三年,並在花旗 (Citi) 領導攻擊性安全團隊超過 10 年。
相關文章
Building a Cloud Security Strategy with AWS Native Tools
Are you an Amazon Web Services customer looking to build a cloud security strategy? If so, you’ve got an array of choices. Learn about their strengths and gaps — and why you need to augment them with a CNAPP like Tenable Cloud Security.
Frequently Asked Questions About Chinese State-Sponsored Actors Compromising Global Networks
An analysis of Tenable telemetry data shows that the vulnerabilities being exploited by Chinese state-sponsored actors remain unremediated on a considerable number of devices, posing major risk to the organizations that have yet to successfully address these flaws.
Your Map for the Cloud Security Maze: An Integrated Cloud Security Solution That’s Part of an Exposure Management Approach
Check out highlights from the IDC white paper “Bridging Cloud Security and Exposure Management for Unified Risk Reduction,” which explains how CNAPPs help security teams tame the complexity of multi-cloud environments by shifting from a reactive, alert-driven model to a proactive exposure…
- Exposure Management
- Exposure Management Academy