數(shù)據(jù)孤島：安全運(yùn)維面臨的最大挑戰(zhàn)

　　設(shè)備多樣性、云應(yīng)用、遠(yuǎn)程辦公、日益復(fù)雜的軟件供應(yīng)鏈，無一不在顯著擴(kuò)大當(dāng)今的攻擊面。但盡管安全運(yùn)營投資年年漲，大多數(shù)企業(yè)卻僅能投入資源解決自身環(huán)境里數(shù)百萬事件中的10%。數(shù)世咨詢指出，安全與風(fēng)險(xiǎn)主管需要講求實(shí)際，關(guān)注可能給企業(yè)帶來最大風(fēng)險(xiǎn)的那一小部分暴露。安全團(tuán)隊(duì)已經(jīng)擁有了支持風(fēng)險(xiǎn)驅(qū)動(dòng)的漏洞優(yōu)先級(jí)排序所需的情報(bào)，但若想充分利用已有洞察的全部潛力，他們必須先打破現(xiàn)有數(shù)據(jù)孤島造成的障礙。從自治網(wǎng)絡(luò)和漏洞掃描器到人工電子表格，數(shù)據(jù)生態(tài)中的所有東西都在產(chǎn)生數(shù)據(jù)。各團(tuán)隊(duì)必須了解每個(gè)要素在優(yōu)先級(jí)決策過程中發(fā)揮的作用，想要探索每種資源的優(yōu)勢(shì)、弱點(diǎn)和機(jī)會(huì)，就需要考慮威脅和暴露管理生命周期。以下是安全運(yùn)維（SecOops）面臨的4大數(shù)據(jù)孤島：

　　01

　　網(wǎng)絡(luò)資產(chǎn)管理

　　有很多方法可以創(chuàng)建所有資產(chǎn)及其相關(guān)風(fēng)險(xiǎn)態(tài)勢(shì)的綜合清單：電子表格、“傳統(tǒng)”網(wǎng)絡(luò)掃描器和IT資產(chǎn)管理工具以及網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）平臺(tái)。

　　然而，取決于所選方法，團(tuán)隊(duì)可能只關(guān)注“傳統(tǒng)”攻擊面，而沒有全面考慮分隔良好的典型去中心化多云現(xiàn)代網(wǎng)絡(luò)中存在的一切。盡管這一領(lǐng)域進(jìn)展不斷，但仍建立在基于狀態(tài)的即時(shí)洞察上。因此，缺乏對(duì)攻擊行為的洞察影響到了其整體有效性。

　　02

　　威脅檢測(cè)與響應(yīng)

　　另一方面，威脅檢測(cè)與響應(yīng)工具分析網(wǎng)絡(luò)、用戶和機(jī)器行為，旨在幫助企業(yè)從對(duì)手的視角了解自身攻擊面。雖然安全信息與事件管理（SIEM）系統(tǒng)的數(shù)據(jù)質(zhì)量相當(dāng)可觀，但警報(bào)過載令團(tuán)隊(duì)極其難以梳理并抽取出最相關(guān)的信息。

　　威脅檢測(cè)與響應(yīng)平臺(tái)通常只監(jiān)測(cè)“已知”資產(chǎn)的更改，而最大的威脅在于對(duì)未知資產(chǎn)的更改。所以，盡管在快速響應(yīng)和修復(fù)方面取得了長足的進(jìn)步，但這些平臺(tái)還是發(fā)現(xiàn)不了典型軟件漏洞和錯(cuò)誤配置之外的暴露。咨詢公司Gartner預(yù)測(cè)，到2026年，未修復(fù)攻擊面將從2022年不足企業(yè)總暴露的10%上升到超過一半。

　　03

　　第三方情報(bào)

　　有幾種方法可以衡量漏洞的潛在影響和可利用性，例如通用漏洞評(píng)分系統(tǒng)（CVSS）、漏洞利用預(yù)測(cè)評(píng)分系統(tǒng)（EPSS）和供應(yīng)商特定的評(píng)分系統(tǒng)，CVSS是最常見的漏洞優(yōu)先級(jí)排序方法。

　　只依賴第三方指導(dǎo)的最大風(fēng)險(xiǎn)在于沒考慮到企業(yè)的特殊需求。比如，安全團(tuán)隊(duì)仍然不得不確定一堆“高危”漏洞（如CVSS評(píng)分9.0+）中到底優(yōu)先修復(fù)哪些。

　　這種情況下，僅僅依靠這些定量方法是不可能作出明智決策的。資產(chǎn)所處位置等因素有助于團(tuán)隊(duì)確定漏洞在公司環(huán)境中的可利用性，而其相互關(guān)聯(lián)可使團(tuán)隊(duì)能夠了解波及范圍或整個(gè)潛在攻擊路徑。

　　04

　　業(yè)務(wù)洞察

　　從配置管理數(shù)據(jù)庫（CMDB）到控制措施，從依賴關(guān)系映射到數(shù)據(jù)湖，如果沒有內(nèi)部業(yè)務(wù)跟蹤系統(tǒng)，這份資源清單就不完整。這些資源都是排序威脅和暴露優(yōu)先級(jí)的重要參考，因?yàn)樗鼈兡軌蛘故驹O(shè)備和漏洞之間的聯(lián)系以及整體業(yè)務(wù)關(guān)鍵性和依賴關(guān)系映射。

　　但盡管充實(shí)豐富，定制數(shù)據(jù)庫卻需要大量人工操作才能實(shí)現(xiàn)并保持更新。因此，考慮到現(xiàn)代企業(yè)環(huán)境變更的速度，這些定制數(shù)據(jù)庫很快就會(huì)過時(shí)，不再能夠準(zhǔn)確探查安全態(tài)勢(shì)的變化。

　　盡管上述每種數(shù)據(jù)源都有其自身的用途，能提供獨(dú)特的寶貴洞察，但沒有哪一種能獨(dú)自挑起勘破當(dāng)今復(fù)雜威脅形勢(shì)的重?fù)?dān)。也就是說，如果能綜合使用，這些數(shù)據(jù)源非常強(qiáng)大，能夠全面揭示有利位置，使團(tuán)隊(duì)能夠作出更好、更明智的決策。

　　推動(dòng)風(fēng)險(xiǎn)知情決策所需的很多有價(jià)值洞察要么遺失在企業(yè)技術(shù)堆棧孤島中，要么阻塞在相互沖突的團(tuán)隊(duì)和流程之間。盡管現(xiàn)代企業(yè)環(huán)境需要安全同步跟進(jìn)，但沒有哪個(gè)工具或團(tuán)隊(duì)可以獨(dú)立修復(fù)這一割裂的過程。

　　數(shù)世點(diǎn)評(píng)

　　安全主管需要根據(jù)自己的首主要例調(diào)整網(wǎng)絡(luò)資產(chǎn)情報(bào)。調(diào)整方式可以是根據(jù)第三方情報(bào)、業(yè)務(wù)上下文和資產(chǎn)關(guān)鍵性來安排漏洞優(yōu)先級(jí)排序過程，或者按照NIST網(wǎng)絡(luò)安全框架和CIS關(guān)鍵安全控制措施集(CIS Critical Security Controls）等特定控制框架使用其安全數(shù)據(jù)，推進(jìn)有效的安全改善計(jì)劃。— 【 THE END 】—

　　更多推薦