如何使用风险暴露管理平台保护所有资产：IT、OT 和 IoT：上下文优先级分析的重要性

探索上下文风险暴露优先级分析如何重塑 OT/IoT 安全，让企业从被动转为主动预防攻击。

物理资产的连接 — 例如数据中心与办公室大楼的暖气、通风、空调 (HVAC) 系统、制造车间的摄像头等，都会造成的网络攻击面不断扩大。由于 IT、运营技术 (OT) 和物联网 (IoT) 资产彼此互连的情况与日俱增，为威胁制造者用来遍历 IT 和 OT 环境的路径也越来越多，这会造成毁灭性的后果。因此，今天的 CISO 发现他们在安全性方面的责任越来越大，不仅要负责 IT 环境，还要负责 OT 和 IoT 环境。

为应对这些威胁，企业安全部门必须对业务环境中资产的风险一清二楚。这也是本三篇系列文章的第一篇的重点“如何使用风险暴露管理平台保护所有资产：IT、OT 和 IoT。” 在此第二部分中，我们将进一步讨论阻碍有效外泄预防的关键挑战。此外，我们还会探讨企业如何从攻击者的视角进行优先级分析来实施风险暴露管理 (EM)，这样安全团队的有限人员和资源就能发挥最大效益。

利用风险暴露管理将漏洞管理水平提升到新高度

漏洞管理 (VM) 是安全计划成功与否的关键一环。它会主动识别可能让攻击者突破外围、横向移动并实现预期目标的薄弱环节。 漏洞管理计划会经常利用通用漏洞评分系统 (CVSS) 来评估公开披露的常见漏洞和风险暴露 (CVE) 的严重性，并安排要优先修复哪些漏洞。这是一个很好的起点。不过，标准 CVSS 分数并未考虑其他重要变量，例如资产重要性和这些资产之间的关系。这些信息可以用来完善风险评估，并且更准确地识别真正的企业风险暴露。因此，安全团队就无需疲于奔命，无休无止地应对堆积如山的重要和高严重性发现结果。

为应对这一挑战，风险暴露管理引入了对有效优先级分析至关重要额外可见性层。例如，风险暴露管理可以识别整个攻击面，其中不仅包括笔记本电脑和服务器等传统 IT 资产，还包括 OT 和 IoT 资产，其中包含看不见和未被管理的资产，以及人和机器的身份，所有这些都是攻击者的潜在目标。风险暴露管理还要能查看所有三种可预防的风险形式，即漏洞、错误配置和过度特权，这些风险让攻击者不仅获取初始访问权限，而且可以横向移动。利用对整个攻击面的资产和风险的广泛而深入的可见性这一基础，风险暴露管理就能在 CVSS 之外应用更多层上下文，更有效地评估真正的风险暴露并进行优先级分析。

实施风险暴露管理，优化优先级分析和修复功能

我们的 Tenable One 风险暴露管理平台提供自顶向下、与业务保持一致的网络风险暴露视图。资产和身份（无论属于哪个领域还是各自孤立）都与对企业最重要的事项保持一致，即生产工厂、业务流程或其支持的关键任务应用程序。

在此博客文章中，我们解释了拥有业务风险暴露上下文视图的重要性，讨论您如何利用此自顶向下上下文对修复工作进行更有效、更精确地优先级分析，这样就能大幅降低企业的风险。

与业务保持一致的网络风险暴露

使用适用于 OT/IoT 的 Tenable One 而不是手动查看面向内外部资产的整个攻击面的风险，企业可以立即查看与业务保持一致的风险暴露卡，反应企业每个关键领域的整体网络风险暴露评分 (CES)。在下列假想的示例中，我们可以看到位于芝加哥的一家制造厂，这是企业的主要收入来源。该工厂的整体 CES 为 220/1000 (B)。 此数字表示整个工厂的相对风险暴露风险很低。我们可以快速评估哪些类别的资产对工厂会构成最大的风险。

此外，在评估多个站点的风险时，Plant 3 的 CES 可用作基准，这有助于未来对修复工作所需人力的投资进行优先级分析。

与业务保持一致的资产风险暴露

不过，有些特定资产是企业的主要营收来源，因此我们还需要对其详加了解，否则可能会给制造厂带来持续的风险暴露。 从芝加哥的 Plant 3 风险暴露卡，我们可以访问下面显示的关联资产清单。资产清单反应与工厂有关的所有资产以及每个资产的资产风险暴露评分 (AES)。AES 的设计目的是提供一个简单易懂的优先级分析视图，可显示风险暴露最大的资产。

值得注意的是，上述风险暴露卡的 CES 是通过使用机器学习算法，汇总和权衡与该特定工厂相关的所有资产的 AES 后自动计算出的。

深度的资产上下文信息

如果我们利用 AES 作为改善优先级分析的主要手段，则了解如何计算和直接访问 AES 就很重要。产生 AES 的最初的上下文信息就是资产重要性评级 (ACR)。ACR 度量资产的相对重要性与潜在影响。ACR 会根据数个关键指标 (例如业务用途、资产类型、所在地点、连接情况、功能和第三方数据) 来计算。例如，服务器的资产重要性要比打印机等 IoT 资产更高。此外，与任务关键型工厂相关的资产和与不产生营收相关的资产相比，也应获得更高的重要性评级。用户可以使用资产标签以手动方式调整 ACR 来满足企业的特定需求，如下面的示例所示。ACR 以 1-10 的整数表示，数字越大就代表该资产对企业越重要。

产生 AES 的第二个上下文信息是漏洞重要性评级 (VPR)。VPR 表示某个给定漏洞的严重性和可利用性。VPR 会将各种静态（例如 CVSS）和动态变量加以考虑来计算某个特定风险 (例如 CVE 或错误设置) 遭利用的可能性。用于为给定风险计算 VPR 的重要变量包括：在漏洞利用套件和框架中被利用代码的可用性、对暗网和黑客论坛上漏洞利用的参考案例、社交媒体漏洞利用的报告、公开的概念验证 (PoC) 研究以及对现实世界中恶意软件哈希的检测。这类威胁情报是对企业构成最大风险的弱点进行优先级分析的关键。VPR 是以 0.1 到 10 的数字表示的，数字越大就代表遭外泄的可能性越大，对某个特定资产造成的影响就越大。

由于单一资产具有多个弱点的情况并不少见，因此 Tenable One 会汇聚与某个资产相关的所有弱点，再搭配 ACR 来计算出一个整体 AES 评分。这会确保在整体 AES 中反映总体风险。因此，AES 能快速识别哪些资产会对企业风险暴露造成最大的风险，而无需以手动方式研究所有现存的潜在变量。业务上下文和优先级分析本身就比动态性和整体性较差的方法有很大改进。

使用攻击路径分析增强优先级分析功能

既然我们对 AES 的计算方法有了基本了解，那我们就看看如何实施 AES ，如何通过攻击者的视角来看待资产风险暴露强化优先级分析功能。

在大量使用 OT 的环境中，例如我们假想的制造厂，IT、OT 甚至 IoT 资产交叉使用的情况并不鲜见。我们还将拥有可以访问网络的人员和机器身份。就像我们在许多数据外泄事件中看到的那样，攻击者一开始并不会访问 OT 资产。攻击者更常访问的是有漏洞的 IT 资产，有时是已知资产，有时是看不见或未受管理的资产，正是这些资产为攻击者大开方便之门。同样，由于安全机制差或缺乏政策，包括弱密码、缺乏多因素身份验证，甚至由于第三方供应商访问网络时使用的易受攻击资产受到破坏，人员和机器的身份也可能遭到外泄。

尽管 AES 是决定优先处理哪些资产及其背后原因的坚实基础，但将企业的风险暴露减到最小的的最佳方法还是具备对完整攻击路径的可见性，以便您可以决定应优先修复哪个风险。

适用于 OT/IoT 的 Tenable One 中的攻击路径可视化和优先级分析功能可主动进行响应，移除攻击者可能会采用的路径。它会通过将关键路径映射到 MITRE ATT&CK 框架来执行此功能，因此让安全团队可以持续可视化可行的攻击路径。这会显示出面向外部及新增的资产、通信模式、关系和之前未知的攻击向量的深入见解。这种可见性支持安全团队实施控制措施，缓解外泄风险。

资产漏洞利用

机器身份外泄

例如，安全团队可以查看具有高权特权的人员身份，如果由于密码质量差而遭外泄，攻击者就可以攻破高权限身份。同样，他们可以识别物理隔离网络在何处通过开放、未受限制的端口连接到互联网，让攻击者最终有办法遍历网络，入侵重要的 OT 资产。同样重要的是，Tenable One 支持从业人员自动识别瓶颈，从而优先修复对减少总体风险暴露产生最大影响的最严重的风险。

瓶颈优先级分析

Tenable One 可为安全人员提供资产风险暴露的优先级分析视图，包括业务上下文、关联的攻击路径和瓶颈，以及详细的修复步骤和工作流集成，从而在减少噪音的同时大幅降低业务风险。

预约免费咨询和演示

想了解适用于 OT/IoT 的 Tenable One 能为贵企业做些什么？预约免费咨询，观看简短的技术演示，并讨论我们如何帮助改进您的安全计划和结果。

有关适用于 OT/IoT 的 Tenable One 的更多信息，请访问 tenable.com/products/tenable-one，或报名参加我们即将召开的网络研讨会“无形的桥：认识互联的 IT、OT 和 IoT 环境所带来的风险”，深入了解本贴文所探讨的主题。

了解详情

• 无形的桥：认识互联的 IT、OT 和 IoT 环境所带来的风险 （网络研讨会）
• 如何使用风险暴露管理平台保护所有资产：IT、OT 和 IoT（博客）
• Tenable 全新推出开创性的 IT、OT 和 IoT 领域可见性，让攻击向量和风险无所遁形（新闻稿）
• 什么是 VPR？它与 CVSS 有何不同？（博客贴文）