Gartner建议安全领导者从传统漏洞管理转向持续威胁暴露面管理(CTEM),强调验证威胁暴露、业务影响和范围调整。CTEM应基于业务优先级,使用验证技术如攻击模拟,与业务部门合作确定风险范围,通过验证来确认和优先处理问题,以降低实际风险。同时,CISO应与高层沟通,制定以业务影响为基础的指标,以有效报告和降低风险。
对于组织来说,面临一系列新的网络威胁是一个日益严重的问题。安全和风险管理领导者应利用此战略路线图从传统的技术漏洞管理转向更广泛、更动态的持续威胁和暴露面管理实践。
主要发现
-
持续威胁暴露面管理 (CTEM) 流程最有价值的输出是记录和报告对风险降低的潜在影响以及组织价值的合理性。
-
通过模拟、配置评估或正式测试等多种机制验证安全威胁是减轻发现暴露面的响应负担的有效方法。
-
如果没有广泛的业务参与,大多数暴露面管理功能(例如漏洞评估)就无法有效发挥作用。尽早与解决者团队接触并制定动员流程对于成功至关重要。
建议
建立或加强 EM 计划的安全和风险管理领导者,尤其是 CISO,应该:
-
根据关键业务优先级和风险构建暴露面评估范围,同时考虑妥协的潜在业务影响,而不是主要关注威胁的严重性。
-
启动一个项目,通过评估入侵和攻击模拟、攻击路径映射和渗透测试自动化产品或服务等工具,将网络安全验证技术构建到 EM 流程中。
-
与高级领导层接触,了解如何通过使用现有风险评估作为这些讨论的基础,并通过为组织中其他部门同意的发现创建一致的分类,以有意义的方式报告暴露情况。
-
在开始报告新发现的风险之前,与整个企业的 IT 管理、网络运营、应用程序开发和人力资源等领域的相邻部门的领导者合作,商定解决问题的有效途径和优先级特征。
战略规划假设
到 2028 年,通过实施或评估部署的安全控制来验证威胁暴露面将成为监管框架中渗透测试要求的公认替代方案。
到 2026 年,超过 40% 的组织(包括三分之二的中型企业)将依赖整合平台或托管服务提供商来运行网络安全验证评估。
介绍
暴露管理面 (EM) 是一组流程,使企业能够持续、一致地评估其数字资产的可见性、可访问性和脆弱性。EM 包括暴露面评估和网络安全验证。Gartner 相信,在许多组织中,EM 将取代当今的漏洞管理 (VM) 实践。承认需要处理更广泛的风险(例如现代应用程序开发和社交媒体带来的技术漏洞之外的风险)的组织将完善其对外部和内部评估工具的使用,并扩大到使用持续评估流程,例如作为 CTEM。
这项研究探讨了未来三到五年暴露面管理类别的演变,确定安全和风险管理领导者可以利用的拐点来降低威胁暴露风险,并与相邻团队建立更好的工作关系,以便更快地响应最相关的问题和有影响力的潜在威胁。
图 1 概述了该战略路线图。本文包含的指南提供了未来状态和当前状态之间的比较,确定评估技术和组织变革的机会,并弥合安全团队在该领域遇到的日益扩大的差距。迁移计划按优先顺序建议 CISO 应采取的行动,以实现处理问题的现代方法;从传统的漏洞到最近的威胁暴露面。
图 1:暴露面管理战略路线图概述
未来状态
安全领导者必须在整个企业范围内设定愿景,通过持续管理用于支持现代业务的新采用技术的暴露面来帮助降低风险。为了实现这一目标,他们必须建立在既定流程的基础上,通过以下计划来管理组织的漏洞和其他数字风险:
-
从更广泛的组织风险角度解决漏洞和不可修补的风险,而不是识别、编目并将风险分配给技术类型的每个单独的组织单位。
-
一种影响机制,用于验证发现的问题并确定方法,不仅通过临时修复来消除点漏洞,而且还可以减少或接受威胁暴露面带来的风险。
-
制定一套以结果为导向、根据业务调整的指标,以供高级领导层无需成为安全专家即可做出有效决策的方式提供调查结果。
-
与所有相关业务部门进行沟通并让其参与用于对发现的威胁进行分类、确定优先级和动员的决策和衡量。
根据业务影响优先级确定特定风险范围
安全在帮助风险所有者降低业务风险方面发挥着关键作用。网络风险会影响业务成果并直接影响组织的关键任务优先事项 (MCP)。从组织的业务风险负责人的角度来看,重要的是要认识到安全团队的作用是支持风险管理,以便负责人能够做出明智的数据驱动决策。事实上,安全必须确保控制措施与组织的总体战略和目标保持一致,并为其目标和活动提供明确的理由和优先级。CISO 需要考虑的与风险相关的第二个最重要的因素是感知。风险管理是所有风险领域的单独方法,网络也不例外。CISO 必须优先考虑组织认为最大的风险以及经验告诉他们最关键的风险。
确定与威胁暴露面相关的风险范围至关重要,因为这是有利于更广泛业务的关键产出之一。为此,高级领导者必须了解组织面临的风险,以及利用所述风险可能产生的影响。结合这些信息,管理人员可以做出明智的决策,以补救、减轻或接受感知到的风险。如果没有影响背景,暴露的问题可能会被孤立地解决,导致不协调的修复工作被转移到各个部门,从而加剧了与大多数漏洞管理计划相关的当前问题。能够记录和报告对风险降低的影响是 CTEM 流程面向业务的重要输出。
在开始范围界定时,我们必须考虑风险对 MCP 的影响以及企业如何看待风险。建立与高层领导优先事项相一致的范围对于成功至关重要,为了实现这一目标,CISO 必须考虑以下重要问题:
-
哪些业务驱动的事件可能很重要,并且在短期、中期和长期内具有较高的影响力/知名度?谁是相关业务流程的所有者?
-
与这些业务流程相关的最关键和公开的 IT 系统和企业 IT 订阅是什么?所有这些系统都可见吗?这些系统在哪里?
-
谁是此类 IT 系统和企业 IT 订阅的系统和服务管理所有者,谁可以对其进行更改?
-
谁最终对风险决策负责以及谁负责进行所需的调整?
这些是开始任何计划之前需要考虑的问题领域,不应因完成一些初始设备或技术发现而受到影响或产生偏见。不带偏见地考虑这些问题的答案将确保任何 CTEM 周期的范围得到充分调整,以识别覆盖范围的差距。此外,该覆盖范围不应仅限于组织拥有或控制的技术,而应扩展到以前未考虑的领域,例如:
-
第三方应用程序和服务 —例如 SaaS、供应链依赖项和代码存储库。
-
身份验证——应用程序、第三方服务和相邻的身份验证解决方案,例如 API 驱动系统的身份验证密钥。
-
消费者级服务——社交媒体/影响品牌的沟通。
最低0.47元/天 解锁文章
扫一扫
2720
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
