曝險管理： 曝險管理是我們對防護現代攻擊破綻的願景

防護現今複雜多變的 IT 環境必須將弱點管理、Web 應用程式安全、雲端安全、身分安全、攻擊路徑分析和外部攻擊破綻管理等全部整合，才能協助企業瞭解整體曝險的廣度與深度。

我擔任 Tenable 的技術長，身負前線防禦的重責大任，必須協助全世界各地的網路安全從業人員設法降低網路風險並改善他們的網路安全態勢，解決他們真正面臨的資安難題。Tenable 做出的所有技術決策，皆來自於我們對客戶的深入洞察。 這些深入洞察激發了我們對未來的願景，我們期許將弱點管理與其他防禦型的網路安全工具整合在一起，形成一種新型的防禦典範，我們稱之為曝險管理。

若要防護現代攻擊破綻，勢必要瞭解在現今複雜多變的環境下會造成重大影響的所有狀況。曝險管理方案將弱點管理、Web 應用程式安全、雲端安全、身分安全、攻擊路徑分析和攻擊破綻管理等相關技術加以整合，協助您瞭解貴公司曝險的全面深度與廣度，同時採取必要的處置措施，透過修復和資安事端回應等工作流程來降低曝險。

曝險管理為什麼這麼重要？因為當威脅執行者查探企業的攻擊破綻時，他們不會考慮各單位之間互不相通的問題。他們會不斷尋找有機可乘的弱點、錯誤設定和身分組合，獲取能讓他們達到目標的存取權。

企業必須思考下列問題：如果企業的攻擊破綻彼此連成一氣，那為什麼資安方案卻互不相通？某部分是因為整個資安界都在致力於開發單一功能的解決方案，專門使用這些解決方案來解決非常特定的網路安全問題。其結果是？將這些技術東拼西湊而成的資安方案各自標榜專擅單一功能，卻使企業無法洞察網路風險的全貌。

有效的曝險管理方案必須破除互不相通的陋習。本月初推出的 Tenable One 曝險管理平台經過精心設計，使企業得以全盤掌握攻擊破綻，知己知彼，洞悉攻擊者眼中看到的一切。在這個部落格中，我們會探討 Tenable One 的最新功能，以及我們何以認為平台型的曝險管理方法會使企業的網路安全防禦實務做法轉型。

Tenable One：現代攻擊破綻的曝險管理

過往已經開發出一些產品，利用這些產品將企業網路安全環境中現有的所有零散技術結合在一起。以延伸偵測及回應 (XDR) 為例：它會從單一功能的產品中擷取資料，設法識別正在進行中的攻擊。儘管這種方式對於以攻擊活動為導向的資安管理很有效，但在實務上並不適用於防禦型的網路安全。完全偏重於活動資料也無法使企業綜觀其安全態勢的全局。

我發現現在有很多企業都在衡量它們的安全作業中心 (SOC) 團隊，只針對以活動為導向的資料做出應變，試圖藉此量化風險。為了綜觀企業曝險的全局，您必須設法評估防禦型方案的有效性，基本上就是跟 XDR 反其道而行。

毫無疑問，防禦型安全工具所產生的資料能產生目前最佳的曝險衡量效果。長久以來的問題出在防禦型安全工具所提供的大量資訊都偏重在它們評估的對象侷限在互不相通的工具內部。企業需要消化的資訊量太大。由於這些形形色色的工具產生的資料過多，往往只能選擇將它們丟進試算表內，難怪大家都戲稱 Excel 是全球使用最廣的安全工具。

近年來有一些彙整資料的工具紛紛問世，試圖找出企業為了提高安全性而應優先修復的弱點。其中有沒有哪些工具能夠有效地降低企業風險？似乎沒有。原因在於，其實這些工具只能找出一部分的問題。例如，它們或許只能透過好幾種不同的工具來彙整軟體的弱點資料，然後藉由一個公式來告訴大家應該先修補哪個軟體，但卻缺乏其他背景資訊。儘管找出並修補軟體弱點是優良網路安全機制不可或缺的一環，但卻不能只靠這種方式來衡量及修補風險。

閉門造車絕對無法有效衡量安全態勢。任何聲稱只要利用一部分參考資料就能打造曝險管理方案的說法 (無論來自於我們還是其他廠商) 恐怕都是自欺欺人。方案需要透過一系列的工具來收集資料，分析的深度和廣度才足以涵蓋整個企業環境。

事實真相是這樣的：光是探究軟體弱點並不足以綜觀企業網路風險的全局。原因就在於，光是探究單一軟體並不能瞭解攻擊破綻，當然也就無法找出弱點、錯誤設定等。背景資訊非常重要，企業必須具備全盤掌握整體攻擊破綻的能力。企業必須知道所有的軟體弱點、錯誤設定、誰正在使用什麼系統，以及使用者具備哪個層級的存取權等所有資訊的關聯，同時涵蓋筆電、容器、應用程式或可程式化邏輯控制器 (PLC) 等所有資產範圍。

例如，假設貴公司的兩台筆電上都出現了其各自系統中最糟糕的弱點。如果透過互不相通的工具來衡量，您會合理假設這兩個弱點一樣嚴重，而且一樣會使貴公司處於風險之中，您必須盡快修復這兩個弱點。

在這種情況下，您如何確信公司真的有風險，以及應該先修復哪一台筆電？好的，如果您知道下列背景資訊，情況就會大不相同：其中一台筆電的使用者是公司的 Salesforce 管理員，而且她沒有使用多因素驗證 (MFA)。而另一台筆電的使用者是櫃台人員，只負責確認訪客身分，無法存取公司內部的其他資料。當您有了這項附加的背景資訊後，就可以明智地決定哪一台筆電是您的優先要務。

這只是說明曝險管理和弱點管理之間基本差異的一個例子，但可從中得知貴公司一開始使用防禦型安全工具時，可以將哪些資料整合在一起、建立其相互關聯、衡量及排定其優先順序。

曝險管理是解決安全問題的創新典範

當您思索著自家公司面臨的龐雜攻擊破綻，每天又有數以千計的問題和警示迎面而來，您必須不斷地決定哪些弱點是當務之急，這時您就會體悟，您需要有意義明確且具有影響力的輸出資料才能一展長才。您需要的資料必須是足以涵蓋整體攻擊破綻的深入分析資料。

全面瞭解攻擊破綻的廣度必須掌握以下能見度和深入剖析資料：

• 跨越 IT 基礎架構的傳統資產，包括操作技術 (OT) 在內
• 雲端資源的設定與防護方式
• 面向網際網路的系統與網站現況如何

全面瞭解攻擊破綻的深度必須掌握以下能見度和深入剖析資料：

• 使用者及其存取特權
• 企業內部四處潛藏的攻擊路徑

以上所有因素都是 Tenable 截至目前為止收購其他公司時的主要考量，而且我們認為這種思維最終會帶動企業 (無論規模大小) 的網路安全管理法轉型。但是，攻擊破綻不只如此，為了有效管理曝險，您必須能夠擷取其他安全解決方案的資料。我們 Tenable 有鑑於此，也樂意把握機會跟其他廠商合作，共同實現這個願景。

Tenable One 曝險管理平台是順著 Tenable 願景發展出的心血結晶。它是網路安全的長遠策略性管理法，可望使全世界企業的風險管理方式轉型。

深入瞭解

• 下載白皮書：「網路安全團隊面臨的三大實際挑戰： 曝險管理平台如何提供協助」
• 閱讀部落格貼文：「曝險管理：降低新型攻擊破綻的風險」
• 觀看網路研討會：「分析師圓桌會議： 曝險管理如何協助您取得能見度、預防攻擊並傳達風險，以制定更明智的決策」