在當前的威脅形勢下，網(wǎng)絡安全管理絕非易事。企業(yè)網(wǎng)絡安全管理者需要尋找改進的框架和工具來降低網(wǎng)絡安全風險，包括從簡單的安全事件處置轉變?yōu)楦墒斓?、具有檢測及響應能力的戰(zhàn)略增強型預防控制。現(xiàn)有攻擊面管理的方法無法匹配企業(yè)數(shù)字化轉型發(fā)展速度， CTEM（威脅暴露面管理）技術應運而生。

　　威脅暴露面管理系統(tǒng)方法論

　　研究機構Gartner認為，CTEM是一種更加務實且有效的系統(tǒng)化威脅管理方法論，可以大大降低組織遭到安全泄密事件的可能性。通過優(yōu)先考慮高等級的潛在威脅處置，CTEM實現(xiàn)了不斷完善的安全態(tài)勢改進，將“修復和態(tài)勢改進”從暴露面管理計劃中分離，強調有效改進態(tài)勢的處置要求。同時，CTEM計劃的運作有特定的時間范圍，它遵循治理、風險和合規(guī)性（GRC）的要求，可為企業(yè)長期安全管理戰(zhàn)略的轉變提供決策支撐。

　　研究人員同時認為，CTEM應用還處在不斷優(yōu)化升級過程中，優(yōu)化威脅暴露管理需要考慮以下三個關鍵要素：持續(xù)實施、系統(tǒng)框架和人工智能。威脅檢測和處理應該是一個持續(xù)的過程，這樣才可以保障威脅防御的效果。而利用已確立的網(wǎng)絡安全框架，則可以充分享用最新又準確的威脅情報和處置經(jīng)驗。通過人工智能和自動化技術，能夠更有效地管理威脅暴露、避免人為錯誤。

　　要點一 持續(xù)實施CTEM計劃

　　持續(xù)開展威脅暴露面管理需要包括五個周期性階段：界定范圍、發(fā)現(xiàn)識別、確定優(yōu)先級、驗證模擬和采取行動，這是一個持續(xù)的動態(tài)過程，在CTEM項目實施中可能會不斷重啟這五個階段，以確保不間斷的威脅監(jiān)控與管理。

　　界定范圍是開展威脅暴露管理的第一步。該階段需要結合業(yè)務視角和安全視角，以識別和篩選關鍵業(yè)務資產(chǎn)威脅、高價值資產(chǎn)威脅或敏感資產(chǎn)威脅。

　　發(fā)現(xiàn)識別需要厘清組織的IT基礎架構、網(wǎng)絡、應用程序和敏感數(shù)據(jù)資產(chǎn)。該階段旨在發(fā)現(xiàn)錯誤配置、漏洞和缺陷，以便可以根據(jù)各自的風險級別進行威脅分類。

　　確定優(yōu)先級側重于評估漏洞被利用的可能性。那些最有可能被利用的漏洞將最先被修復。低優(yōu)先級漏洞的修復工作會酌情延后，直到有足夠的資源來處置。

　　驗證模擬主要針對已發(fā)現(xiàn)漏洞的測試攻擊，以檢查現(xiàn)有的安全控制措施是否足夠有效。該階段還用于評估響應和補救機制是否足夠到位。

　　采取行動是指根據(jù)驗證階段的結果對發(fā)現(xiàn)的漏洞和風險采取糾正措施。這常常是個人工處置的過程，但如果各方密切合作，這個過程可以變得很順暢。此外，采取行動階段生成有關CTEM流程的全面數(shù)據(jù)，促進下一個周期中的流程更高效。

　　CTEM并不只是一種安全工具或產(chǎn)品，而是一項系統(tǒng)性的威脅管理計劃和流程，任何組織都可以采用它來提升管理威脅暴露面的能力。

　　要點二 充分利用成熟安全框架

　　網(wǎng)絡安全框架提供了一種有效的處置知識庫，可以更有效地檢測和解決威脅。它們?yōu)槿绾伪Ｗo數(shù)字資產(chǎn)安全提供了一套科學合理的體系和方法。

　　以MITRE ATT&CK框架為例，該框架提供了相互對照的權威信息，介紹全球的最新對抗策略和技術，包括最近發(fā)現(xiàn)的漏洞方面和攻擊者利用的信息。該框架提供的威脅情報非常詳細，不僅詳細描述了威脅，還詳細描述了威脅利用的流程、攻擊具體實例以及它們使用的攻擊工具。通過應用MITRE ATT&CK框架，可以使威脅的識別和解決具有系統(tǒng)性。

　　NIST網(wǎng)絡安全框架也是非常實用的資源，它列出了管理網(wǎng)絡風險方面的標準、指南和最佳實踐，可以在企業(yè)威脅識別、保護、檢測、響應和恢復五個方面指導企業(yè)進行風險管理。

　　此外，還有ISO/IEC 27001，它被認為是國際性網(wǎng)絡安全標準，可以幫助組織應對常見的安全威脅。它需要對信息安全威脅進行系統(tǒng)化管理，要求組織設計和實施信息安全策略，并采用持續(xù)的風險管理流程。

　　要點三 充分利用人工智能技術

　　網(wǎng)絡犯罪分子已經(jīng)在使用人工智能發(fā)起或實施攻擊，不緊跟形勢是不合邏輯的。當層出不窮的攻擊讓網(wǎng)絡分析師手忙腳亂、疲于應對時，更有必要采用自動化和基于機器學習的解決方案。組織使用的多種安全控制措施生成大量的安全數(shù)據(jù)、警報和安全事件報告，緊靠分析師人工處理是難以滿足要求的，必須有一種方法可以自動處理相對簡單問題方面的警報，并標記出復雜的安全問題，供分析師人工評估。

　　目前，人工智能和自動化在檢測和管理威脅方面起到了重要作用。人工智能經(jīng)過訓練后，可以迅速檢測惡意軟件或惡意網(wǎng)絡活動，不僅基于威脅身份來檢測，還基于行為模式來檢測。甚至可以開發(fā)預測智能來預測潛在攻擊。

　　此外，人工智能和自動化技術在對抗惡意機器人程序（bot）攻擊方面非常有效。惡意機器人程序攻擊已經(jīng)在互聯(lián)網(wǎng)流量中占據(jù)很大的比例，它們不斷尋找漏洞和攻擊機會，從而構成嚴重風險。人工智能系統(tǒng)可用于檢測機器人程序活動，其與人類行為區(qū)分開來，同時還可以準確識別非惡意的機器人程序行為，比如搜索引擎爬蟲、版權機器人程序、聊天機器人程序、新聞源機器人程序和網(wǎng)站監(jiān)控服務等應用。

更多信息可以來這里獲取==>>電子技術應用-AET<<