风险暴露管理： 降低现代攻击面风险

面对无效且各自为政的安全计划，大量单点工具生成的数据零散且缺乏洞察，许多网络安全团队正陷入困境。 在本文中，我们将说明为什么他们需要一个风险暴露管理平台来提供综合全面的可见性，并帮助其预测威胁、对修复进行优先级分析并降低风险。

具有明确定义的本地边界的 IT 环境已经走上了转盘拨号电话的老路。 原因是什么？以下列出了一些常见的相关资产： 云、移动技术、持续软件交付能力、IoT 以及过去几年出现的各种其他现代技术和流程。

因此，IT 环境变得越来越复杂、分散、混合且结合得更为松散，使之难以得到有效保护。 攻击面不断扩大且愈发错综复杂，为网络罪犯提供了大量可利用的盲点和漏洞。

世界日新月异，网络安全团队仍会继续陷入困境，同时还要面对无效且各自为政的安全计划，大量单点工具不断产生大量零散的数据，且这些数据往往无法轻易形成关联，也很难从中得出有意义的洞察。

该怎么办？ 不妨试试风险暴露管理

随着 IT 环境的发展且变得更加复杂，保护各种资产所需的工具和技术也在发生同样的变化。 漏洞管理发挥了极大的功效，可让我们更好地了解传统 IT 资产（如服务器、工作站或网络设备）的安全状况。 但是，向云平台、微服务、Web 应用程序、互联运营技术设备和身份服务过渡需要越来越多的专用工具，且这些工具可以安全、正确地评估每一种技术，以确定其可能给企业带来的风险。

风险暴露管理是这种各自为政的评估方法的现代版本，这种方法可以将每个评估工具和技术的数据汇集在一起并进行分析，从而查看各个评估结果之间的关系，让企业了解可能遭受攻击的领域的真实情况。 由于攻击者通常会从一种类型的漏洞转向另一种类型的漏洞，因此，防御者必须能够理解己方所有漏洞和错误配置数据会如何相互影响。 这种以关系为中心的聚合分析历来都是在外部数据存储中手动完成，其中，安全团队必须自行创建风险关系，并利用他们对基础设施的个人理解进行分析。 这会导致对环境的视图不完整，以及试图解决这个问题的过程变得非常迟缓、困难。

这种棘手的情况有一个解决方案：超越传统漏洞管理的风险暴露管理计划，包括跨一系列资产和技术中的配置问题、漏洞和攻击路径数据，包括身份解决方案、云配置和部署以及 Web 应用程序。

风险暴露管理计划的基础是技术平台以及理解、应对和修复风险暴露所需的流程，并且使企业能够：

• 获取整个现代攻击面的全面可见性
• 预测威胁并对攻击预防工作进行优先级分析
• 传达网络安全风险以做出更好的决策

什么样的企业需要风险暴露管理？

以下问卷有助于确定是否需要采用风险暴露管理计划：

• 安全堆栈中的工具能否互操作，并对风险暴露提供全面的洞察？
• 能否对攻击面获得综合全面的可见性，包括从端点到云，再到本地环境，以及相互之间的任何领域？
• 能否在任何时候以预测的方式对修复工作进行优先级分析，从而随时了解哪些工作需要优先执行？
• 是否利用威胁情报来了解威胁形势？
• 能否对所有可能导致网络罪犯进入最关键资产的攻击路径进行分析？
• 能否以符合或超过行业基准的方式及时、准确、持续地修复问题？
• 能否自信而权威地回答以下问题： “我们有多安全？”
• 能否向业务管理人员和安全团队清楚地传达安全状态？
• 安全团队中的资源分配决策是否以数据为基础？

如果您对全部或大部分问题回答为“否”，那么采用风险暴露管理有极大可能会从中受益。

主要优势

全面的风险暴露管理计划可助各类利益相关者的一臂之力。 以下是风险暴露管理计划可为三类关键群体带来的好处。

• 安全专业人士

  • 对完整攻击面具有综合全面可见性和了解
  • 所有资产的统一视图，不再存在盲点
  • 对所有类型的漏洞和风险暴露进行精确的修复优先级分析
  • 明确建立有效风险管理的基线
  • 改进了风险决策

• 安全经理

  • 对威胁、资产和特权的全面洞察和上下文
  • 减少风险以及所需的修复和响应资源
  • 能够通过整个攻击面中资产和用户的上下文视图预测攻击后果
  • 清晰、易于传达的关键绩效指标 (KPI) ，可跟踪一段时间内的进展并与基准进行比较

• CISO、业务信息安全官 (BISO) 和其他安全高管

  • 准确的风险评估，以改进关于投资和可保险性的决策，满足合规性要求，并推动企业改进
  • 可操作的指标，以帮助度量、比较并向 IT 和安全团队以及非技术管理人员和运营团队传达网络安全风险
  • 具有清晰 KPI 的网络安全风险统一视图，以度量进展情况，并与业界同行和企业内部进行基准比较
  • 能够回答以下问题： “我们有多安全？”

在风险暴露管理平台中需要注意的 3 件事

有效的风险暴露管理平台需要提供三个关键功能：

综合全面的可见性

为实现快速、顺利地了解和管理企业的网络安全风险及其完整的攻击面，并消除盲点，平台必须提供以下功能：

• 无论在本地还是在云中，为所有资产和相关软件漏洞、配置漏洞和授权漏洞提供统一的视图

• 持续监控互联网，以快速发现和识别所有面向外部的资产，消除已知和未知的安全风险领域

预测和优先级分析

为了帮助安全团队预测网络攻击的后果，对其行动进行优先级分析，并以最少的工作量降低风险，平台必须提供以下功能：

• 利用各种单点工具提供的大型数据集，提供有关攻击路径中相互关联的资产、风险暴露、特权和威胁的上下文

• 持续识别和关注遭到攻击者利用的风险最大的攻击路径

• 提供准确的预测性修复指导和洞察

传达网络安全风险的有效指标

为了给安全管理人员和业务领导者提供一个集中的、与业务一致的网络安全风险视图，并提供明确的 KPI，让他们能够对风险管理能力进行基准测试，平台必须提供以下功能：

• 对企业的总体网络安全风险提供可操作的洞察，包括每天进行的主动工作的价值

• 使用户能够深入了解每个部门、业务单位、地理位置、技术类型或任何其他形式的业务运营的详细信息

• 帮助改善企业内不同群体之间的整体沟通与协作

• 提供可操作的指标，帮助节省时间，改进投资决策，支持网络保险计划，推动改进，同时切实降低风险

Tenable 能够带来哪些助益

今天，Tenable 推出了 Tenable One 风险暴露管理平台。该平台将各种数据源统一到单一的风险暴露视图中，旨在帮助企业获得可见性、对工作进行优先级分析并传达网络安全风险。

Tenable One 以久经考验的 Tenable 产品为基础，将不同的漏洞、错误配置和其他安全问题整合到单一视图中，将所有发现问题的风险上下文统一在一起，并对企业风险最严重的领域提供了基于上下文的理解。 如此，便可让企业公平地权衡补丁缺失、SQL 注入漏洞以及容器错误配置之间的风险大小，并了解哪一个风险对业务的潜在影响更大。 借助 Tenable One，企业可以充分利用 Tenable 与其合作伙伴（如 ServiceNow）之间既有的集成。 该平台还旨在为风险暴露管理计划奠定基础，同时为大多数企业已经实施的其他安全工具、流程和服务夯实根基。

了解详情

• 下载白皮书网络安全领导者面临的 3 个现实挑战：风险暴露管理平台能够带来哪些助益
• 查看信息图：从基于风险的漏洞管理到风险暴露管理：不断变化的良好网络安全机制的定义
• 阅读博客，Tenable One 风险暴露管理平台介绍