风险暴露管理：我们的现代攻击面保护愿景

为了保护当今复杂且多变的 IT 环境，需要将漏洞管理、Web 应用程序安全、云安全、身份安全、攻击路径分析和外部攻击面管理相结合，以帮助企业了解风险暴露的广度和深度。

作为 Tenable 的首席技术官，我身负前线防御的重任，必须协助全球网络安全专业人员努力降低网络安全风险并改善网络安全态势，解决他们面临的真正挑战。我们在 Tenable 做出的每一项技术决策都是依据来自客户的洞察。 这些洞察启发我们设想出这样一个未来：漏洞管理和其他预防性网络安全工具将以一种全新的模式相结合，我们称之为风险暴露管理。

现代攻击面的安全取决于能否了解当今复杂多变环境中的所有重要状况。风险暴露管理计划将漏洞管理、Web 应用程序安全、云安全、身份安全、攻击路径分析和外部攻击面管理等技术相结合，以帮助企业了解风险暴露的广度和深度，并采取必要措施通过修复和事故响应工作流减少风险暴露。

为什么风险暴露管理如此重要？因为当威胁制造者发现企业的攻击面时，他们并不会考虑到单位间互不相通的结构。他们会不断寻找漏洞、错误配置和身份的适当组合，使他们能够获得实现目标所需的访问权限。

企业要自省的问题是：如果攻击面彼此相连，为什么安全计划却互不相通？部分原因是，整个安全行业都专注于创建单点式解决方案，专门针对网络安全中某些非常具体的方面。其结果是：就像是一个技术大杂烩，所有这些解决方案都在提供定制功能，但无法让企业看到全部范围的网络安全风险。

有效的风险暴露管理计划需要破除这种互不相通的情况。Tenable One 风险暴露管理平台于本月早些时候推出，旨在为企业提供攻击面的整体视图，以便企业可以从攻击者的视角发现风险。在本博客中，我们将讨论 Tenable One 的当前功能，以及我们为何认为基于平台的风险暴露管理方法可以改变企业实施预防性网络安全的方式。

Tenable One：现代攻击面的风险暴露管理

曾经有一些产品致力于将网络安全环境中所使用的所有不同技术结合在一起。其中一个例子是扩展检测和响应 (XDR)：该产品可以从其他各种单点产品中获取数据，以便在发生攻击时识别攻击。虽然这种方法对于活动驱动的安全非常有用，但并不适合于预防性网络安全的实践。仅仅关注活动数据也无法让企业全面掌握自己的安全态势。

如今，我看到许多企业试图仅仅通过度量其安全运营中心 (SOC) 团队应对活动驱动的数据的方式来量化风险。企业还需要一种方法来评估预防性计划的效果，以便全面了解风险暴露情况，这基本上就站在了 XDR 的反面。

毫无疑问，预防性安全工具生成的数据是迄今为止度量风险暴露的最佳方式。一直以来的问题在于，预防性安全工具提供了大量信息，显示了它们所评估的互不相通的攻击面中的所有错误。大量的信息让企业疲于应对。由于这些不同的工具生成的数据过多，企业通常别无选择，只能将数据转储到电子表格中。难怪一直有人调侃说：Excel 是世界上使用最广泛的安全工具。

近年来，有一些工具能够聚合数据，尝试进行优先级分析，以确定企业应该关注哪些工作才能确保更安全。那么这些工具能否成功帮助企业主动降低风险？ 实际上并不能。原因同样在于，这些工具只能解决有限范围内的问题。例如，有些工具只能在没有其他背景信息的情况下，将来自多个不同工具的软件漏洞数据进行聚合，然后根据一个公式，告诉用户先修补哪个软件。虽然识别和修补软件漏洞对良好的网络安全机制至关重要，但这并非度量和修复风险的唯一方法。

在孤立的环境中不能有效地度量安全态势。如果我们或任何供应商建议可以在有限的输入基础上建立风险暴露管理计划，那必然是不诚实的。风险暴露管理计划需要从一系列工具中收集数据，以便能够将必要的深度分析应用到整个企业环境中。

事情的真相是：单看软件漏洞并不能全面了解网络安全风险。就像在孤立的真空环境中无法发现攻击面一样，在隔离的环境中，我们也发现不了漏洞、错误配置等问题。背景信息非常重要。企业需要能够全面查看整个攻击面。企业需要看到所有软件漏洞、错误配置、谁在使用哪些系统以及他们的访问权限级别，无论是在笔记本电脑、容器、应用程序还是可编程逻辑控制器 (PLC) 上。

例如，假设企业有两台笔记本电脑，上面可能存在各自系统中最严重的漏洞。如果从孤立的工具来看，可以合理地认为这两台笔记本电脑的漏洞同样严重，会使企业面临同样的风险，因此需要尽快同时修复这两台笔记本电脑。

在这个示例中，如何知道企业是否真的面临风险，以及哪台笔记本电脑需要优先修复？那么，再假设企业发现其中一台笔记本电脑正在由公司的 Salesforce 管理员使用，这台笔记本电脑也没有使用多重身份验证 (MFA)。 而另一台笔记本电脑则由前台的工作人员使用，这台笔记本电脑会检查 ID，且无法访问其他内容。这时，随着背景信息的增加，企业就可以做出明智的决定，确定应该优先修复哪一台笔记本电脑。

这个非常基本的示例说明了风险暴露管理和漏洞管理之间的区别，旨在展示当企业能够开始收集、关联、度量来自预防性安全工具的数据并进行优先级分析时，可能产生的结果。

风险暴露管理将转变企业处理安全问题的模式

在考虑企业自身庞大而复杂的攻击面时（每天都会有成千上万的问题和警报袭来，要求企业不断地进行优先级分析并做出决策），很明显，企业需要的是简洁、有意义且有影响力的输出，这样才能发挥企业的最大能力。企业需要数据来展示攻击面的广度和分析的深度。

了解攻击面的广度需要有对以下方面的可见性和洞察力：

• IT 基础设施以外的传统资产，包括运营技术 (OT)
• 如何配置和保护云资源
• 面向互联网的系统和网站正在经历什么

了解攻击面的深度需要有对以下方面的可见性和洞察力：

• 用户及其访问特权
• 整个企业的潜在攻击路径

Tenable 迄今为止完成的所有收购都基于上述思路，我们相信，这种思维最终将改变各种规模的企业处理网络安全问题的方式。然而，攻击面远不止于此，为了有效地执行风险暴露管理，企业还需要能够从其他安全解决方案中获取数据。Tenable 也认识到了这一点，因此我们希望有机会与其他供应商合作，共同实现这一愿景。

Tenable One 风险暴露管理平台代表了 Tenable 愿景的自然演变。这是一种具有战略性且长期的网络安全方法，将改变世界各地企业的风险管理方式。

了解详情

• 下载白皮书网络安全团队面临的 3 个现实挑战：风险暴露管理平台能够带来哪些助益
• 阅读博客文章风险暴露管理： 降低现代攻击面风险
• 观看网络研讨会分析师圆桌会议：风险暴露管理功能如何帮助您获得可见性、预防攻击并传达风险来做出更好的决策