2024年，安全運營（SecOps）領域迎來重大變革。根據Gartner最新發布的《安全運營技術成熟度曲線》報告，持續威脅暴露管理（CTEM）到達炒作周期的頂峰，Gartner為該概念增加了三個新興類別：威脅暴露管理（Threat Exposure Management）、暴露評估平臺（Exposure Assessment Platforms,EAP）以及對抗性暴露驗證（Adversarial Exposure Validation,AEV）。

2024年安全運營炒作周期圖

CTEM這一概念由Gartner在2022年首次提出，旨在為企業提供一種結構化的方法，持續評估、優先處理、驗證和修復組織攻擊面上的暴露點，使企業能夠迅速應對最關鍵的風險。該框架的提出，幫助企業在面對日益擴大的攻擊面時更加游刃有余。

CTEM新類別的定義為不斷演變的暴露管理技術領域提供了結構化指導，有助于企業識別最適合支持CTEM實施的安全廠商。

以下是對新類別及相關產品的解讀，及其對企業安全領導者的意義。

威脅暴露管理的兩大新類別

威脅暴露管理是CTEM框架的核心，涵蓋了管理威脅暴露所需的所有技術和流程，并包括了以下兩個新興類別：

暴露評估平臺（EAP）：該類別融合了傳統的漏洞評估和漏洞優先級技術，旨在簡化漏洞管理并提升運營效率。Gartner將其評為高效益類別，正是因為EAP能夠大幅提升企業在應對漏洞方面的能力。

對抗性暴露驗證（AEV）：該類別將漏洞和攻擊模擬（BAS）與自動化滲透測試和紅隊演練合并，提供連續的、自動化的暴露證據。AEV通過模擬現實中的攻擊技術驗證企業的網絡韌性，預期將迎來顯著的市場增長。

EAP：減少對CVSS的依賴

EAP不僅能夠減少對CVSS評分的依賴，還能提供更加上下文化的數據，使漏洞優先級的確定更加精準。CVSS評分固然有用，但它只是一個指標，無法告訴你在具體環境和威脅態勢下漏洞的可利用性。而EAP則結合了威脅情報和資產重要性信息，使得企業能夠聚焦于實際對業務構成風險的漏洞，而不僅僅是可利用的漏洞。

此外，EAP還能幫助企業識別業務風險，確保安全團隊將精力放在那些可能對關鍵業務資產產生重大影響的漏洞上，而不是無關緊要的系統配置問題。

AEV：鎖定現實威脅

盡管EAP能夠提供暴露的上下文信息，但它們仍然局限于理論數據分析，缺乏實際可利用攻擊路徑的證據。而AEV通過模擬對抗性攻擊，確認哪些安全漏洞在特定環境中真正可被利用，并評估攻擊者在成功利用漏洞后能夠走多遠。

簡單來說，AEV可在廣泛的理論威脅中鎖定現實威脅。

AEV的另一個優勢在于，它讓紅隊演練變得更加容易。紅隊需要獨特的技能和工具，而這些通常難以獲取。使用自動化AEV產品可以幫助企業降低進入門檻，提供一個不錯的基準，讓紅隊能夠專注于高優先級領域。

AEV還可以使龐大的攻擊面變得更加可控。通過自動化測試，安全團隊可以定期、持續地在多個地點執行測試，減輕安全人員的負擔。

CTEM實施面臨的挑戰與應對策略

盡管CTEM框架為企業帶來了諸多優勢，但在實施過程中仍然面臨一些挑戰。

在EAP方面，企業需要超越合規和CVSS評分的思維定勢。僅將評估視為勾選清單式的活動，會導致企業忽視漏洞的可利用性和潛在影響之間的差異。

在AEV方面，找到覆蓋全面的技術解決方案也是一大難題。雖然許多廠商提供攻擊模擬或自動化滲透測試功能，但這些功能通常被視為獨立的模塊。對于那些希望驗證安全控制有效性和安全漏洞可利用性的企業來說，可能需要分別實施多個產品。

主動風險管理的新時代

自兩年前CTEM框架問世以來，企業對主動風險暴露管理的需求日益增長。此次Gartner的技術成熟度曲線中呈現的新分類，反映了這一領域產品的日趨成熟，推動了CTEM框架的實際應用。

在選擇AEV產品時，建議企業尋找能夠無縫整合BAS和滲透測試功能的解決方案，因為大多數工具并不具備這一特點。優先選擇無代理技術，可以準確模擬攻擊者手法，同時降低運營負擔。這種獨特的組合確保了安全團隊能夠持續驗證企業的安全狀態，并且具有真實的攻擊相關性。