7月23日,Gartner發(fā)布《Hype Cycle for Security Operations, 2021》(2021安全運營技術(shù)成熟度曲線),對主流的安全運營技術(shù)進(jìn)行了解讀,預(yù)測創(chuàng)新技術(shù)的發(fā)展階段,為組織的安全和風(fēng)險管理負(fù)責(zé)人提供參考,并幫助其更有效的制定組織的網(wǎng)絡(luò)安全發(fā)展策略。相較于2020年,數(shù)字化轉(zhuǎn)型加速了企業(yè)與IT信息技術(shù)的關(guān)聯(lián)。由于疫情,遠(yuǎn)程工作、移動設(shè)備的使用和云服務(wù)顯著增加,促使企業(yè)運作方式的重大變革,但也同時給企業(yè)帶來了更多的安全威脅和風(fēng)險,因此安全運營技術(shù)已經(jīng)成為了企業(yè)關(guān)注的重點方向。
成熟度曲線&優(yōu)先級矩陣
技術(shù)成熟度曲線(The Hype Cycle),又稱技術(shù)循環(huán)曲線,指的是企業(yè)用來評估新科技的可見度,利用時間軸與市面上的可見度,決定是否采用新科技的一種工具。1995年開始,Gartner依其專業(yè)分析預(yù)測與推論各種新科技的成熟演變速度及要達(dá)到成熟所需的時間,具體可分為:技術(shù)萌芽期、期望膨脹期、泡沫破裂谷底期、穩(wěn)步爬升復(fù)蘇期、生產(chǎn)成熟期5個階段。在2021年報告中,萌芽階段包括自主滲透測試和紅隊服務(wù)、外部攻擊面管理(EASM)、網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CASSM)、滲透測試即服務(wù)(PTaaS)、擴展檢測和響應(yīng)(XDR)技術(shù);膨脹階段包括數(shù)字風(fēng)險保護(hù)服務(wù)(DRPS)、漏洞優(yōu)先排序(VPT)、文件分析技術(shù)(FA)、托管檢測和響應(yīng) (MDR) 服務(wù)、威脅情報(TI)服務(wù)、網(wǎng)絡(luò)威脅檢測及響應(yīng)(NDR)、 運營系統(tǒng)(OT)安全技術(shù);破裂階段包括集成化的風(fēng)險管理(IRM)、安全編排自動化響應(yīng)(SOAR)、欺騙平臺(DP)、入侵與攻擊模擬(BAS)技術(shù);復(fù)蘇期包括端點檢測與響應(yīng)技術(shù)(EDR)、基于硬件的安全技術(shù)、安全信息和事件管理(SIEM)、云訪問安全代理(CASB)技術(shù);成熟期包括漏洞評估技術(shù)(VA)技術(shù)。
圖1 2021年安全運營成熟度技術(shù)曲線
(注:橫軸為“時間”,表示一項技術(shù)隨時間發(fā)展經(jīng)歷各個階段,縱軸是“預(yù)期”。)
表1:2021年安全行動的優(yōu)先權(quán)矩陣
(注:在優(yōu)先級矩陣中,縱軸為技術(shù)的潛在效益;橫軸是按照距成熟采用期年數(shù)劃分計劃的,該年數(shù)與技術(shù)成熟度曲線上所用的評估相同。)
本文著眼于安全運營技術(shù)成熟度曲線的前兩個階段,從20多個技術(shù)點中,節(jié)選了歸屬萌芽期的外部攻擊面管理(EASM)、網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CASSM)技術(shù)和擴展檢測和響應(yīng)(XDR)技術(shù)與歸屬膨脹期的入侵與攻擊模擬(BAS)漏洞優(yōu)先排序技術(shù)(VPT)5個新興技術(shù)點進(jìn)行了解析。
1
外部攻擊面管理(EASM)
定義
外部攻擊面管理(EASM)是指為發(fā)現(xiàn)面向互聯(lián)網(wǎng)的企業(yè)資產(chǎn)和系統(tǒng)及相關(guān)漏洞而部署的流程、技術(shù)和管理服務(wù)。示例包括服務(wù)器、憑證、公共云服務(wù)的錯誤配置和第三方合作伙伴的軟件代碼漏洞,這些漏洞可能會被對手利用。
關(guān)注原因
雖然EASM通過產(chǎn)品疊加提供數(shù)字風(fēng)險保護(hù)服務(wù)(DRPS)、威脅情報、第三方風(fēng)險評估和漏洞評估等能力,但供應(yīng)商提供的能力方向各有不同,需要重點關(guān)注市場需求,并在全球范圍內(nèi)進(jìn)行擴張。
五個重要能力
監(jiān)測:持續(xù)掃描各種環(huán)境(如云服務(wù)和面向外部的企業(yè)內(nèi)部基礎(chǔ)設(shè)施)和分布式生態(tài)系統(tǒng)(如物聯(lián)網(wǎng)基礎(chǔ)設(shè)施);
資產(chǎn)發(fā)現(xiàn):發(fā)現(xiàn)和清點企業(yè)未知的面向外部的資產(chǎn)和系統(tǒng);
分析:評估和分析資產(chǎn)屬性,確定資產(chǎn)是否存在風(fēng)險、脆弱性或異常行為;
優(yōu)先排序:對風(fēng)險和漏洞進(jìn)行優(yōu)先排序,并根據(jù)優(yōu)先排序分析提供預(yù)警和優(yōu)先級分析;
修復(fù):提供優(yōu)先緩解措施的實施計劃,以及修復(fù)緩解工作流程,并集成像工單系統(tǒng)、事件響應(yīng)工具、安全編排自動化響應(yīng)(SOAR)等解決方案。
EASM幫助識別未知資產(chǎn),并提供系統(tǒng)、云服務(wù)和應(yīng)用程序等對攻擊者/在公共領(lǐng)域內(nèi)攻擊者可用和可見的信息。
業(yè)務(wù)影響
EASM支持企業(yè)識別來已知和未知的面向互聯(lián)網(wǎng)的資產(chǎn)和系統(tǒng)的風(fēng)險。安全領(lǐng)導(dǎo)可以使用EASM的功能來了解和管理來自其數(shù)字業(yè)務(wù)的風(fēng)險,因為它提供了寶貴的背景信息和可操作的信息。
資產(chǎn)的識別及清點:識別未知的數(shù)字資產(chǎn)(如網(wǎng)站、IP、域名、SSL證書和云服務(wù)),并實時維護(hù)資產(chǎn)列表。這種可見性也可以擴展到企業(yè)的子公司或第三方。
漏洞修復(fù)及暴露面管控:將錯誤配置、開放端口和未修復(fù)漏洞根據(jù)緊急程度、嚴(yán)重性來進(jìn)行風(fēng)險等級分析以確定修復(fù)優(yōu)先次序。
驅(qū)動因素
數(shù)字化業(yè)務(wù)舉措:如轉(zhuǎn)向云基礎(chǔ)設(shè)施和平臺服務(wù)以及SaaS,遠(yuǎn)程工作,采用物聯(lián)網(wǎng)(IoT)技術(shù),以及IT和運營系統(tǒng)(OT)融合,是目前出現(xiàn)新安全要求的一些關(guān)鍵領(lǐng)域;
在這些情況下,EASM工具正在被廣泛應(yīng)用;
這些工具幫助安全專業(yè)人員了解并減少對互聯(lián)網(wǎng)和公共領(lǐng)域的不必要的暴露風(fēng)險,以優(yōu)先考慮需要補救的關(guān)鍵暴露面。
阻礙因素
安全和風(fēng)險管理的領(lǐng)導(dǎo)者應(yīng)該意識到,隨著EASM受益于擴大的可見性,在中短期并購中存在著切實的風(fēng)險,這可能會影響到初創(chuàng)公司對該領(lǐng)域的投資;
為了充分受益于EASM解決方案的能力,安全和風(fēng)險管理(SRM)領(lǐng)導(dǎo)者將被要求能夠在多個領(lǐng)域(如IT資產(chǎn)管理、云管理、漏洞管理等)利用它們,而不僅僅是安全,并具有一定程度的成熟度和資源,如專用或?qū)I(yè)人員。
建議
審查工具供應(yīng)商的EASM能力,如DRPS或漏洞評估;
審查供應(yīng)商的能力,如覆蓋范圍(識別)、準(zhǔn)確性(歸屬)和支持修復(fù)的自動化水平;
根據(jù)公認(rèn)的用例優(yōu)先級選擇EASM服務(wù)提供商,但也要為可能延伸到DRPS用例的長期要求進(jìn)行規(guī)劃;
評估安全組織在技能、資源和成熟度方面的準(zhǔn)備程度,確保擁有適當(dāng)?shù)馁Y源以充分受益于EASM能力。
2
網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CASSM)
定義
網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)是一項新興技術(shù),專注于幫助安全團(tuán)隊解決持續(xù)的資產(chǎn)可見性和漏洞挑戰(zhàn)。使企業(yè)能夠通過與現(xiàn)有工具的API集成,識別內(nèi)外部資產(chǎn),查詢綜合數(shù)據(jù),確定漏洞的范圍與安全控制的差距,并進(jìn)行修復(fù)。
關(guān)注原因
CAASM超越了專注于資產(chǎn)子集(如端點、服務(wù)器、設(shè)備或應(yīng)用程序)產(chǎn)品的有限范圍。通過將資源整合到資源庫,使用戶可以查詢到EASM和端點檢測與響應(yīng)(EDR)工具的覆蓋范圍的差距。CAASM通過使用應(yīng)用程序編程接口(API)集成提供被動的數(shù)據(jù)收集,取代手動和低效的過程來收集和分析資產(chǎn)信息。
業(yè)務(wù)影響
CAASM使安全團(tuán)隊能夠通過整體環(huán)境的安全控制、安全態(tài)勢和資產(chǎn)風(fēng)險的修復(fù)和處置來改善基本的安全狀況。部署CAASM的企業(yè)可以減少對自身系統(tǒng)和手動收集過程的依賴,并通過手動或自動化流程修復(fù)漏洞。此外,這些可以直觀地看到安全工具的覆蓋情況,并糾正修復(fù)陳舊或缺失數(shù)據(jù)的原始記錄系統(tǒng)。
驅(qū)動因素
提高資產(chǎn)可見性,了解攻擊面和現(xiàn)有的安全控制的差距;
通過更準(zhǔn)確和全面的資產(chǎn)和安全控制報告,快速的審計合規(guī)性報告;
整合現(xiàn)有產(chǎn)品資產(chǎn)信息,減少手動流程和本地應(yīng)用程序的依賴;
授權(quán)企業(yè)架構(gòu)師、漏洞管理團(tuán)隊和IT管理員等團(tuán)隊訪問綜合資產(chǎn)視圖,從查看和查詢綜合資產(chǎn)清單中受益;
降低收集數(shù)據(jù)的阻力,獲取數(shù)據(jù)安全可視性(從影子IT、已安裝的第三方系統(tǒng)等)。
阻礙因素
對 “另一個”工具的抵制,擁有提供資產(chǎn)可視性產(chǎn)品的企業(yè)面臨挑戰(zhàn),難以證明增加CAASM的成本和理由;
產(chǎn)品按資產(chǎn)數(shù)量進(jìn)行授權(quán),對于管理著數(shù)百萬資產(chǎn)的大型機構(gòu)來說,成本過高;
單個實例的可擴展性可能會受到限制,無論是數(shù)據(jù)收集還是工具的可用性,都有過多的數(shù)據(jù)點;
缺乏CAASM集成的工具(例如,缺乏API),擁有現(xiàn)有工具的團(tuán)隊會阻礙能力集成。
發(fā)現(xiàn)錯誤時不允許對原始記錄系統(tǒng)進(jìn)行糾正,與原始系統(tǒng)相沖突的調(diào)節(jié)過程會出現(xiàn)混亂。
建議
利用 POC或在購買產(chǎn)品前試用免費版本。產(chǎn)品易于部署,從而降低了購買 CAASM 產(chǎn)品然后需要將其淘汰或更換為其他供應(yīng)商的風(fēng)險。
確定需要CAASM解決的主要用例,如實現(xiàn)更全面的資產(chǎn)可視性、自動修復(fù)安全漏洞、更新記錄或減輕合規(guī)報告的負(fù)擔(dān);
盤點可與CAASM產(chǎn)品集成的可用API,并確保有可用的賬戶進(jìn)行集成;
拓展使用范圍,從核心安全團(tuán)隊擴展至多用戶(包括合規(guī)團(tuán)隊、威脅捕獵、漏洞管理團(tuán)隊和系統(tǒng)管理員);
詢問現(xiàn)有的安全供應(yīng)商,了解他們目前提供的資產(chǎn)可見性,以及他們是否有在未來提供 CAASM 功能的路線圖。
3
擴展檢測和響應(yīng)(XDR)
定義
XDR是一種針對供應(yīng)商的威脅檢測和事件響應(yīng)工具,它將多種安全產(chǎn)品統(tǒng)一到安全操作系統(tǒng)中。主要功能包括安全分析、關(guān)聯(lián)告警、事件響應(yīng)和響應(yīng)自動化。
關(guān)注原因
XDR在功能上與SIEM以及SOAR相似。然而,XDR的區(qū)別在于其集成和自動化程度、易用性以及對威脅檢測和事件響應(yīng)的關(guān)注。XDR解決方案供應(yīng)商還必須直接提供多種安全控制,如EDR、云訪問安全代理(CASB)、防火墻、身份識別與訪問管理(IAM)、入侵檢測系統(tǒng)(IDS)等。
業(yè)務(wù)影響
XDR產(chǎn)品可以降低管理安全事件的總成本,提高事件響應(yīng)團(tuán)隊的生產(chǎn)力,并降低組織的整體網(wǎng)絡(luò)安全風(fēng)險態(tài)勢。
驅(qū)動因素
中型企業(yè)正在努力解決由不同安全組件產(chǎn)生的警報。雖然現(xiàn)有的SIEM和SOAR工具可以提供類似的功能,但這些工具的成本、復(fù)雜性和持續(xù)維護(hù)對中型企業(yè)來說都太高。集成和維護(hù)最佳安全工具組合所需的人員和技能太高。XDR工具主要由擁有基礎(chǔ)設(shè)施保護(hù)產(chǎn)品組合的安全解決方案供應(yīng)商銷售,如EDR、CASB、安全Web網(wǎng)關(guān)(SWG)、安全電子郵件網(wǎng)關(guān)(SEG)和網(wǎng)絡(luò)威脅檢測及響應(yīng)(NDR)。更高級的XDR工具通過與身份、數(shù)據(jù)保護(hù)和應(yīng)用訪問的整合,將重點放在了堆棧上,以保護(hù)和應(yīng)用訪問。
阻礙因素
只有一小部分供應(yīng)商能夠真正提供XDR產(chǎn)品。致力于XDR方法可能導(dǎo)致對單一供應(yīng)商的過度依賴。能夠提供XDR產(chǎn)品的大型供應(yīng)商在解決新威脅方面的執(zhí)行速度往往比最佳初創(chuàng)公司慢得多。所有的XDR工具都需要與其他供應(yīng)商的安全產(chǎn)品進(jìn)行一些整合,但大多數(shù)XDR產(chǎn)品的整合度仍然很低。安全產(chǎn)品的功效仍然是一個重要的因素,組合中的一些解決方案可能不如同類競爭產(chǎn)品有效。此外,還存在對XDR供應(yīng)商提供的威脅情報和檢測內(nèi)容的單一來源的潛在依賴性。XDR工具可降低但不能消除對操作員技能和7*24小時全天監(jiān)控的需求。XDR和SIEM產(chǎn)品之間的一個主要區(qū)別是:XDR不能滿足事件響應(yīng)以外用例的(如合規(guī)性或運營)長期日志存儲需求。
建議
與利益相關(guān)者合作,評估XDR戰(zhàn)略合理性;
決策標(biāo)準(zhǔn)基于人員配置和生產(chǎn)力水平、IT的聯(lián)合水平、風(fēng)險容忍度和安全預(yù)算,以及對單一供應(yīng)商綁定的容忍度,以及現(xiàn)有XDR組件工具的存在。
制定符合XDR戰(zhàn)略的內(nèi)部架構(gòu)和采購政策;
根據(jù)長期XDR架構(gòu)戰(zhàn)略來規(guī)劃未來的安全采購和技術(shù)迭代;
尋求提供 API 的安全產(chǎn)品廠商,以便與 XDR 進(jìn)行信息共享和自動化。
4
入侵與攻擊模擬(BAS)
定義
入侵和攻擊模擬(BAS)技術(shù)使企業(yè)能夠持續(xù)不斷地模擬針對企業(yè)資產(chǎn)的多種攻擊載體。BAS可以測試威脅載體,如外部和內(nèi)部人員、橫向移動和數(shù)據(jù)外傳泄漏。BAS的部署利用了軟件代理、虛擬機、云平臺和其他手段來運行模擬。雖然有相似之處,但它不能完全取代紅隊服務(wù)或滲透測試。
關(guān)注原因
BAS市場正在增長,有兩個主要的用例:安全控制驗證和安全態(tài)勢評估。BAS技術(shù)的主要優(yōu)勢包括提供連續(xù)和一致的安全控制測試的能力,以及在確定補救行動的優(yōu)先次序以改善防御方面提供的幫助。
業(yè)務(wù)影響
BAS允許企業(yè)自動運行持續(xù)的安全評估,對企業(yè)資產(chǎn)的更大比例和更頻繁地進(jìn)行評估。BAS不斷增加新的威脅模擬,擴大其功能的范圍和深度。
驅(qū)動因素
BAS最常見的使用情況是自動測試和評估公司的安全狀況。擁有成熟安全計劃的大型企業(yè)主要使用這些技術(shù)來確保一致的防御,并測試其現(xiàn)有安全控制的配置差距和/或缺少的安全可視性。
周度或者日度測試用于通知IT和業(yè)務(wù)利益相關(guān)者關(guān)于安全態(tài)勢中的現(xiàn)有差距,或驗證安全基礎(chǔ)設(shè)施、配置設(shè)置和檢測/預(yù)防技術(shù)是否按預(yù)期運行。當(dāng)作為紅隊或滲透測試演習(xí)的補充時,BAS也可用于驗證安全操作中心的工作人員是否能檢測到特定的攻擊。
阻礙因素
為了發(fā)展成為一個市場,BAS供應(yīng)商不僅需要來自安全運營中心、應(yīng)用程序和網(wǎng)絡(luò)運營等團(tuán)隊的內(nèi)部支持,驗證洞察力的質(zhì)量,而且還需要通過標(biāo)準(zhǔn)框架擴大診斷和基本修復(fù)指導(dǎo)。
BAS供應(yīng)商必須克服部署和維護(hù)方面的挑戰(zhàn),并繼續(xù)在相鄰市場上實現(xiàn)差異化。大型企業(yè)已經(jīng)擁有太多的檢測方法從審計、漏洞管理、應(yīng)用安全測試到滲透測試等。BAS不能只是簡單地增加數(shù)量,而是要為現(xiàn)有的安全評估提供指導(dǎo)方向并豐富現(xiàn)有的安全評估。
建議
評估BAS技術(shù),準(zhǔn)確、安全模擬組織面臨威脅的真實攻擊能力;
對公司的用例進(jìn)行優(yōu)先排序,據(jù)用例評估BAS供應(yīng)商的能力,確定可改善安全風(fēng)險評估、威脅監(jiān)控和漏洞管理實踐的BAS技術(shù);
評估供應(yīng)商可提供的攻擊場景的數(shù)量,模擬的更新頻率,以反映真實攻擊;
與審計員合作,確定BAS技術(shù)是否可用來驗證現(xiàn)有安全控制的有效性;
確保BAS產(chǎn)品提供的結(jié)果是優(yōu)先、可操作的、并可直接應(yīng)用于響應(yīng)計劃。
5
漏洞優(yōu)先排序技術(shù)(VPT)
定義
漏洞優(yōu)先排序技術(shù)(VPT)通過集中精力識別對組織構(gòu)成最大風(fēng)險的漏洞并進(jìn)行優(yōu)先排序,簡化了漏洞分析和修復(fù)/緩解過程。該方法考慮了漏洞的可利用性、資產(chǎn)或業(yè)務(wù)的關(guān)鍵性、漏洞的嚴(yán)重性和現(xiàn)有的補償控制措施。
關(guān)注原因
VPT支持基于風(fēng)險的漏洞管理方法(RBVM)。這類產(chǎn)品和服務(wù)利用來自漏洞評估(VA)工具、配置管理數(shù)據(jù)庫(CMDB)的遙測數(shù)據(jù)—盡管擁有CMDB并不是使用VPT的要求—以及應(yīng)用安全測試(AST)。VPT 通過利用分析和各種威脅和漏洞情報來源增加了一層情報。
業(yè)務(wù)影響
VPT解決方案可以被認(rèn)為是一種自動化的形式,它帶來了高級分析技術(shù)和漏洞情報,以減少執(zhí)行人工RBVM的人力資源需求。全球安全事件和漏洞數(shù)量的持續(xù)上升促使許多組織采用VPT解決方案來實施高效的漏洞管理計劃。事件的增加也導(dǎo)致VA供應(yīng)商更傾向于RBVM方法。
驅(qū)動因素
VPT市場繼續(xù)快速增長。VPT能識別組織更多的實際風(fēng)險,并幫助優(yōu)先修復(fù)漏洞。無論是通過修復(fù)(如打補?。┻€是補償控制(如入侵防御系統(tǒng)[IPS]和網(wǎng)絡(luò)應(yīng)用程序防火墻[WAF])。
此外,該解決方案還可以節(jié)省全職員工(FTE)的運營成本,減少組織的攻擊面,防止漏洞被利用。
RBVM是一個迭代的過程,由技術(shù)(如VA和VPT)支撐,并觸發(fā)其他流程,如IT運營執(zhí)行補丁管理。此外,執(zhí)行手動RBVM具有挑戰(zhàn)性,它需要智能和自動化以成功實施流程。因為需要考慮利用和業(yè)務(wù)關(guān)鍵性以反映組織的真實情況,企業(yè)無法通過預(yù)先定義的通用漏洞評分系統(tǒng)分?jǐn)?shù)的傳統(tǒng)方法來進(jìn)行漏洞排序。在VPT的情況下,這些解決方案在當(dāng)前威脅環(huán)境的背景下對漏洞進(jìn)行分析。例如,由于漏洞的公開可利用性,低危漏洞隨時可而轉(zhuǎn)化為高危漏洞,而CVSS的分?jǐn)?shù)仍保持不變。
阻礙因素
VPT解決方案通常由漏洞管理成熟度較高的組織利用,在基本的漏洞管理流程到位之前不應(yīng)使用。如果漏洞管理(VM)程序中的流程被破壞,VPT將無法發(fā)揮作用。
VM是信息安全操作的基礎(chǔ)部分。然而,根據(jù)嚴(yán)重程度評分來確定漏洞的優(yōu)先級,會導(dǎo)致基于單一指標(biāo)的響應(yīng)。這種指標(biāo)驅(qū)動的輸出很少基于風(fēng)險,因為沒有考慮威脅活動和資產(chǎn)環(huán)境等因素。
VM 的運用勢不可擋,因為有大量漏洞出現(xiàn)在報告中,增加了其他業(yè)務(wù)部門的和安全團(tuán)隊的矛盾沖突。
建議
實施基于風(fēng)險的方法,將資產(chǎn)價值關(guān)聯(lián)起來,利用VPT解決方案計算出風(fēng)險等級。在確定補救活動的優(yōu)先次序時,這可以減少被破壞的風(fēng)險。
用獨立的VPT解決方案增強VA工具,以更好地確定優(yōu)先次序,或使用現(xiàn)有的VPT功能,協(xié)助有效的方法來減少實際風(fēng)險。這可以實現(xiàn)供應(yīng)商的整合,并在新的培訓(xùn)和工具部署上投入更少的精力。
識別具有修補功能和SOAR集成的供應(yīng)商。這使安全團(tuán)隊控制了工作流程。評估這種方法是否合適。如果是的話,利用修復(fù)工作流程自動化,避免使用兩個不同的工具。
利用內(nèi)部安全控制的背景,部署VPT解決方案,使現(xiàn)有的安全投資最大化。但這種能力在整個市場上還不成熟。
選擇VPT解決方案,從多個來源匯總漏洞數(shù)據(jù),以呈現(xiàn)面向行動的指標(biāo)。