Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

曝險管理是主動式安全的未來



以 Jorge Orchilles 為主角的曝險管理論壇圖片。

每週一,Tenable 曝險管理學院都會分享實用且貼近真實世界的指引,協助您從弱點管理成功轉向曝險管理。 在這篇貼文中,Verizon 整備與主動式安全部資深總監 Jorge Orchilles 將深入分享他決定轉向曝險管理的心路歷程。 您可以在此處閱讀完整的曝險管理學院系列文章。

隨著我們在 Verizon 將安全重點轉向主動式曝險管理,我們正在整合工具與團隊,專注於處理真實世界中可被刺探利用的風險。 我們在統一的策略下整合攻擊性安全功能,優先處理可被刺探利用的威脅並促進團隊協作,將焦點從合規導向的修復,轉為風險導向的修復。

大家都知道這種情況: 我們這些在安全領域的人,幾乎每天都在玩高風險的打地鼠遊戲 (Whac-a-mole®)。 我們窮盡心力追查弱點,並發布 (或回應) 像是「30 天內修補」或「紅色警戒,立即修補!」等指令。

但隨著攻擊破綻擴大、威脅來源日益精密,這種被動回應的作法已不敷使用。 

在 Verizon 我們認識到,面對必須滿足企業、零售、行動領域技術人員等各種需求的異質環境,最好的解決方案並不是再拼湊一套各自為政的技術。 我們需要一個單一、整合的曝險管理平台,能夠涵蓋我們企業的每個角落。 實現這個目標的旅程打破了部門隔閡,並將我們的心態從合規導向轉變為風險導向。 

重要的是,在我們考慮新技術之前,需要先讓擁有各自工具與優先事項的多個團隊,共同遵循共享的策略。

將各自獨立的工具整合為一

安全團隊總是得應付各種拼湊而來的工具: 各自獨立的工具分別用於攻擊破綻管理、資產能見度、 弱點掃描身分曝險雲端安全。 在大多數公司裡,不同的團隊操作這些解決方案,而每一種都需要其專屬的專業知識。 起初,這種分工是為了確保由對的人,以對的技能,修復對的問題。 

但這種各自為政的做法會減慢回應時間並產生盲點,可能導致關鍵性弱點因超出某團隊的專業領域而未獲處理。 您無法在各自為政的環境下作攻擊路徑分析!

我不想只做勾選方塊了事的工作。 

我們需要能優先處理真實世界風險,而非窮於應付每個弱點的安全計畫。 而在這個過程中,我們清楚地看到,整合式方法的價值遠遠超過特定功能的優勢。

因此,為應對這些挑戰,我們選擇整合至單一平台:Tenable One

管理變革的關鍵: 一點 Dale Carnegie 的智慧

儘管選對平台是一切關鍵所在,但實施曝險管理不僅是技術問題。 更是企業層面的挑戰。 啟動曝險管理方案代表必須轉移關鍵、各自為政的安全職能所有權,這可能需要團隊以前所未有的方式一起合作。

舉例來說,在 Verizon,攻擊破綻管理之前是由獨立團隊負責。 現在,這些成員都已納入我的團隊。 負責執行 Bloodhound 等身分曝險工具的 Active Directory 團隊仍維持獨立,但我們密切合作,讓他們視安全洞察為有價值的資訊,而非追究責任的工具。 

之前使用不同工具組的物聯網 (IoT) 和操作技術 (OT) 安全專家,現在都在同一個架構下工作。

對習慣各自為政的安全團隊而言,現在必須共享資料與決策,無疑是一大挑戰。 我發現克服這個問題的關鍵是透明化與夥伴關係。 

事實上,定期閱讀一點 Dale Carnegie 的著作,就跟每天看 Brian Krebs 的文章一樣重要。 

因此,為順利過渡,我們不採由上而下的強制命令,而是著重於建立團隊共識。我們透過設定共享目標、清晰溝通,並在初期就展現出計畫的價值來達成此目的。 透過從一開始就讓身分安全、IT 營運和雲端安全等領域的利害關係人參與,我們確保這場變革並非外力強加,而是由他們主動形塑並支援。

我想強調,這一切並非一蹴可幾。 

這需要高層的首肯支持與周詳的規劃。 這些團隊不只是被要求使用新工具,更是被要求改變他們的工作方式。 要讓這次轉型成功,唯一方法就是向團隊成員證明,這種新做法能讓他們的工作更輕鬆,而不是更困難。

別再試圖修復所有問題

曝險管理最大的心態轉變之一,就是認知到並非每個弱點都需要立即修補。 當然,這可能很難讓人馬上理解。 但當所有事情都十萬火急時,就沒有一件事是真正緊急的了。 而這種做法只會導致筋疲力盡、效率低落,以及更多的曝險。 

因此,在 Verizon,我們專注於處理那些真正可被刺探利用,且存在於實際攻擊路徑上的弱點。

所以,如果某個應用程式有關鍵性弱點,但攻擊者沒有可行途徑來觸及它,那它真的該是最高優先順序嗎? 另一方面,如果有弱點提供直達核心資產的路徑,我們就需要立即處理。 

關鍵在於根據真實世界的攻擊情境來排定優先順序,而非任意的嚴重性分數。

與高階主管的溝通之道

曝險管理的另一項關鍵優勢,在於它如何改變在高階主管層級的安全對話。 我們不再提交冗長的弱點清單,因為這對非技術背景的領導者而言意義不大。取而代之的是,我們用幾個關鍵點呈現清晰樣貌:

而當重大弱點來襲時,我們不必手忙腳亂地確認是否受到影響。 相關資料我們信手拈來。 這就是曝險管理的真正價值: 速度、清晰度,以及在攻擊者行動前應對的能力。

網路安全的未來是主動式曝險管理

曝險管理的核心,就是從被動式安全轉向主動式安全。 這不再只是修復弱點。 更是要從業務的角度來理解風險。 

隨著越來越多企業朝這個方向邁進,曝險管理也將持續演進。 

供應商正在整合,團隊正在重組,而安全領導者們也意識到,一次修補所有地方的所有弱點是不可能的任務。 

因此,整個產業必須像 Verizon 一樣,專注於真正重要的事情上: 預防那些真正可能導致入侵的攻擊。

對於我們這些身處這次轉型浪潮尖端的人來說,是時候停止被動回應,並開始將曝險當成策略性風險來管理了。

聽聽 Jorge 分享下一步的致勝關鍵

 

深入瞭解

  • 閱讀安全領導者曝險管理策略指南,這套經過驗證的務實指南,將引導您如何成功建立曝險管理方案,內容更涵蓋了範疇界定、利害關係人溝通,以及取得內部支持的關鍵建議。

Whac-a-Mole 是 Mattel Inc. 的註冊商標。


您可以利用的網路安全最新消息

輸入您的電子郵件,就不會錯過來自 Tenable 專家提供的及時警示與安全指引。