從研究人員近些年的調(diào)查結(jié)果來看，威脅攻擊者目前非常善于識(shí)別和利用最具有成本效益的網(wǎng)絡(luò)入侵方法，這就凸顯出了企業(yè)實(shí)施資產(chǎn)識(shí)別并了解其資產(chǎn)與整個(gè)資產(chǎn)相關(guān)的安全態(tài)勢(shì)的迫切需要。

目前來看，為了在如此復(fù)雜的網(wǎng)絡(luò)環(huán)境中受到最小程度上的網(wǎng)絡(luò)威脅，企業(yè)不應(yīng)問 "我們暴露了嗎？"而應(yīng)問 "我們暴露的程度如何？要了解這個(gè)問題，企業(yè)必須實(shí)施一種程序化和可重復(fù)的方法，將自己想象成威脅攻擊者，從敵對(duì)的角度看待自己的網(wǎng)絡(luò)防御系統(tǒng)。

網(wǎng)絡(luò)安全暴露的現(xiàn)狀

威脅者發(fā)動(dòng)網(wǎng)絡(luò)攻擊可能會(huì)瞄準(zhǔn)企業(yè)任何可能存在漏洞的地方。因此，企業(yè)需要實(shí)施多種安全控制、工具和流程來保護(hù)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)。

目前來看，企業(yè)的安全工作經(jīng)常被分割滲透測(cè)試、威脅情報(bào)管理和漏洞掃描等成不同部分。但是不幸的是，從以往的網(wǎng)絡(luò)攻擊案例來看，這種分割方法對(duì)企業(yè)所面臨的各種網(wǎng)絡(luò)風(fēng)險(xiǎn)的洞察力極其有限。在這樣的背景下，再加上缺乏全面的風(fēng)險(xiǎn)優(yōu)先級(jí)排序，使得企業(yè)在面臨安全挑戰(zhàn)時(shí)會(huì)顯得不知所措，無法充分指導(dǎo)企業(yè)首先應(yīng)該解決哪些問題。

因此，企業(yè)需要一種系統(tǒng)性且一致的策略來衡量其面臨的安全風(fēng)險(xiǎn)，這就需要將重點(diǎn)轉(zhuǎn)移到思考威脅攻擊者有哪些攻擊途徑上去，并在發(fā)生網(wǎng)絡(luò)攻擊時(shí)不斷”評(píng)估“防御措施和響應(yīng)計(jì)劃。

此外，企業(yè)了解威脅攻擊者的”動(dòng)態(tài)"對(duì)于準(zhǔn)確定位安全漏洞、告知安全團(tuán)隊(duì)?wèi)?yīng)首先在哪些方面應(yīng)用安全措施以及有必要采取哪些額外的安全控制措施至關(guān)重要。（從威脅攻擊者的角度識(shí)別安全漏洞，能讓企業(yè)主動(dòng)提升安全態(tài)勢(shì)）

企業(yè)得攻擊面不斷擴(kuò)大

目前，大多數(shù)企業(yè)的 IT 生態(tài)系統(tǒng)包括從內(nèi)部員工的身份，工作平臺(tái)以及云服務(wù)等，包含了各種各樣的數(shù)據(jù)資產(chǎn)，每種資產(chǎn)都可能因安全漏洞和錯(cuò)誤配置而暴露。這些安全漏洞和錯(cuò)誤配置可能被威脅攻擊者用來破壞組織的運(yùn)營(yíng)和數(shù)據(jù)資產(chǎn)。

混合環(huán)境中，這一挑戰(zhàn)更為嚴(yán)峻，因?yàn)榛旌檄h(huán)境融合了云和內(nèi)部資產(chǎn)，再加上沒有明確的邊界，大大降低了可見性和控制力。可見，隨著企業(yè)的發(fā)展，其攻擊面必然會(huì)隨著新的互聯(lián)資產(chǎn)的整合而擴(kuò)大，從而增加了復(fù)雜性。

值得注意的是，外部威脅環(huán)境的不確定性使這種擴(kuò)展變得更加復(fù)雜，新興威脅（包括由人工智能驅(qū)動(dòng)的威脅）不斷改變著外部威脅環(huán)境，“影子 IT"也會(huì)大大增加了這種復(fù)雜性，這樣就會(huì)大大增加了業(yè)務(wù)風(fēng)險(xiǎn)、合規(guī)風(fēng)險(xiǎn)，使得安全管理變得更加復(fù)雜。

由此可見，企業(yè)數(shù)據(jù)資產(chǎn)的相互關(guān)聯(lián)性以及不斷發(fā)展的安全威脅，給安全管理員有效管理組織的安全態(tài)勢(shì)帶來了巨大挑戰(zhàn)。如果每個(gè)安全漏洞不加以解決，都可能成為通向更多資產(chǎn)或數(shù)據(jù)的通道，為威脅攻擊者創(chuàng)造潛在的利用途徑。

企業(yè)需要搞清楚攻擊面

威脅攻擊者利用常見的安全漏洞、泄密憑證或配置錯(cuò)誤的安全設(shè)置”穿越“受害者網(wǎng)絡(luò)并訪問企業(yè)資產(chǎn)的攻擊途徑是一種重大威脅，這些途徑往往隱藏在復(fù)雜的網(wǎng)絡(luò)生態(tài)系統(tǒng)中。因此，安全團(tuán)隊(duì)往往無法全面了解企業(yè)所面臨的潛在安全威脅，從而對(duì)可能導(dǎo)致勒索軟件部署的混合攻擊準(zhǔn)備不足。

許多企業(yè)往往會(huì)主動(dòng)提升內(nèi)部的安全態(tài)勢(shì)以抵御勒索軟件等高風(fēng)險(xiǎn)威脅，這就好比在不斷擴(kuò)大的資產(chǎn)庫存中修補(bǔ)安全漏洞，注定是一場(chǎng)無休止的”戰(zhàn)斗“。歸根結(jié)底，由于缺乏對(duì)優(yōu)先級(jí)和風(fēng)險(xiǎn)的范圍和理解，再加上大量漏洞的出現(xiàn)，使得企業(yè)在風(fēng)險(xiǎn)暴露方面有太多事情要做，而在首先采取什么行動(dòng)方面卻幾乎沒有指導(dǎo)。因此，企業(yè)需要一種方法來解決 "我們是如何暴露的 "這一問題。

什么是安全風(fēng)險(xiǎn)攻擊面管理？

一個(gè)企業(yè)不可能對(duì)其運(yùn)營(yíng)的方方面面都能夠提供最好的安全防護(hù)。因此，需要優(yōu)先保護(hù)關(guān)鍵領(lǐng)域，在最需要的地方簡(jiǎn)化安全工作。

通過調(diào)整優(yōu)先級(jí)，企業(yè)可以解決三個(gè)關(guān)鍵問題：

• 從威脅攻擊者的角度來看，我的組織是什么樣的？
• 我的組織中哪些部分最容易受到攻擊？
• 如果攻擊者設(shè)法破壞了這些攻擊路徑，會(huì)產(chǎn)生什么影響？

通過回答這三個(gè)問題，安全團(tuán)隊(duì)可以更好地確定工作量的輕重緩急，并立即解決關(guān)鍵的安全風(fēng)險(xiǎn)。

攻擊管理側(cè)重于優(yōu)化安全措施，以更好地防范威脅，其主要目標(biāo)是緊急突出和強(qiáng)化組織的最脆弱點(diǎn)。這一過程對(duì)于確定優(yōu)先級(jí)至關(guān)重要，當(dāng)企業(yè)搞清楚遵守每項(xiàng)政策或衡量每項(xiàng)指標(biāo)都不切實(shí)際時(shí)，就需要把防御重點(diǎn)轉(zhuǎn)移到封堵威脅攻擊者的潛在切入點(diǎn)上。

攻擊面管理往往從評(píng)估外部安全狀況開始，主要包括模擬威脅攻擊者針對(duì)組織的潛在行動(dòng)（攻防演練），這種方法的主要好處之一是揭示了可能被利用的攻擊載體，使企業(yè)能夠先發(fā)制人地解決薄弱環(huán)節(jié)。特別是在資源緊張的情況下，這一點(diǎn)尤為重要。

參考文章：https://www.helpnetsecurity.com/2024/04/09/organizations-exposure-management/