在不断发展的技术环境中管理漏洞是一项艰巨的任务。尽管漏洞经常出现,但并非所有漏洞都具有相同级别的风险。CVSS 分数或漏洞数量等传统指标不足以进行有效的漏洞管理,因为它们缺乏业务背景、优先级以及对攻击者机会的理解。漏洞仅代表攻击者可以利用的攻击面的一小部分。
最初,组织使用手动方法来解决已知的安全漏洞,但随着技术和网络威胁的发展,需要一种更加自动化和全面的方法。然而,传统的漏洞管理工具主要是为合规性而设计的,而现代工具在优先级排序和资源有限方面仍然面临挑战,尤其是在动态和敏捷的云环境中。
现代漏洞管理集成了扫描器、威胁情报和补救工作流等安全工具,以提供更高效和有效的解决方案。然而,组织继续面临挑战,例如:
越来越多的漏洞列表
不准确的优先次序
缺少业务上下文
IT 和安全团队之间的优先级和资源错位
缺乏覆盖面和统一的风险观
暴露范围比典型的 CVE 更广泛,并且不仅仅包含漏洞。暴露可能由多种因素造成,例如人为错误、安全控制定义不当以及设计不当和不安全的架构。许多安全工具倾向于关注特定类型的暴露,例如漏洞、错误配置或身份,并单独解决每一个问题。然而,这种方法没有考虑攻击者如何看待网络和系统。攻击者不看个人暴露——相反,他们利用有毒组合漏洞、错误配置、过于宽松的身份和其他安全漏洞跨系统移动并到达敏感资产。这条路线称为攻击路径,这种类型的横向移动可能会在数周或数月内未被发现,从而使攻击者能够在隐藏在网络内部的同时造成重大且持续的破坏。
现代风险管理计划涉及将多个风险组合到攻击图上,以了解风险与关键资产的关系和背景。这允许进行有针对性的补救,以最具成本效益的方式降低风险。要构建现代暴露管理计划,组织应认识到威胁参与者的演变及其策略,建立确保持续安全态势改善的操作流程,并实施由补救计划、补救审查、风险缓解和缓解验证组成的计划。
在 XM Cyber??,我们相信只有将多个风险组合在一起形成一个可视化所有可能攻击路径的攻击图,我们才能了解关键资产风险的关系和背景。通过了解上下文,我们可以准确地确定问题的优先级,将重点放在需要补救的问题上。这允许进行有效的补救,以最具成本效益的方式降低风险。
建立现代风险管理计划的三个关键支柱是:
了解风险洞察——持续识别和监控关键资产的潜在风险,并识别安全控制中的任何漏洞或与合规标准的偏差。
分析攻击路径——创建一个攻击图视图,将所有可能的攻击路径可视化到关键资产。
确定补救工作的优先次序——关注最关键的问题和需要立即关注的瓶颈,以经济高效的方式减少风险敞口。
通过结合这三大支柱,组织可以构建全面有效的风险敞口管理计划,帮助保护关键资产并降低总体风险敞口。这允许进行有效的补救,以最具成本效益的方式降低风险。通过持续分析和监控风险,组织可以建立一个可持续和可扩展的流程来管理风险。
