《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > Gartner《2021安全運(yùn)營(yíng)技術(shù)成熟度曲線》解析

Gartner《2021安全運(yùn)營(yíng)技術(shù)成熟度曲線》解析

2021-10-20
來(lái)源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: Gartner 安全運(yùn)營(yíng)

7月23日,,Gartner發(fā)布《Hype Cycle for Security Operations, 2021》(2021安全運(yùn)營(yíng)技術(shù)成熟度曲線),,對(duì)主流的安全運(yùn)營(yíng)技術(shù)進(jìn)行了解讀,預(yù)測(cè)創(chuàng)新技術(shù)的發(fā)展階段,,為組織的安全和風(fēng)險(xiǎn)管理負(fù)責(zé)人提供參考,,并幫助其更有效的制定組織的網(wǎng)絡(luò)安全發(fā)展策略。相較于2020年,數(shù)字化轉(zhuǎn)型加速了企業(yè)與IT信息技術(shù)的關(guān)聯(lián),。由于疫情,,遠(yuǎn)程工作、移動(dòng)設(shè)備的使用和云服務(wù)顯著增加,,促使企業(yè)運(yùn)作方式的重大變革,,但也同時(shí)給企業(yè)帶來(lái)了更多的安全威脅和風(fēng)險(xiǎn),因此安全運(yùn)營(yíng)技術(shù)已經(jīng)成為了企業(yè)關(guān)注的重點(diǎn)方向,。

  成熟度曲線&優(yōu)先級(jí)矩陣

  技術(shù)成熟度曲線(The Hype Cycle),,又稱技術(shù)循環(huán)曲線,指的是企業(yè)用來(lái)評(píng)估新科技的可見度,,利用時(shí)間軸與市面上的可見度,,決定是否采用新科技的一種工具。1995年開始,,Gartner依其專業(yè)分析預(yù)測(cè)與推論各種新科技的成熟演變速度及要達(dá)到成熟所需的時(shí)間,,具體可分為:技術(shù)萌芽期、期望膨脹期,、泡沫破裂谷底期,、穩(wěn)步爬升復(fù)蘇期、生產(chǎn)成熟期5個(gè)階段,。在2021年報(bào)告中,,萌芽階段包括自主滲透測(cè)試和紅隊(duì)服務(wù)、外部攻擊面管理(EASM),、網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CASSM),、滲透測(cè)試即服務(wù)(PTaaS)、擴(kuò)展檢測(cè)和響應(yīng)(XDR)技術(shù),;膨脹階段包括數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)(DRPS),、漏洞優(yōu)先排序(VPT)、文件分析技術(shù)(FA),、托管檢測(cè)和響應(yīng) (MDR) 服務(wù),、威脅情報(bào)(TI)服務(wù)、網(wǎng)絡(luò)威脅檢測(cè)及響應(yīng)(NDR),、 運(yùn)營(yíng)系統(tǒng)(OT)安全技術(shù),;破裂階段包括集成化的風(fēng)險(xiǎn)管理(IRM)、安全編排自動(dòng)化響應(yīng)(SOAR),、欺騙平臺(tái)(DP)、入侵與攻擊模擬(BAS)技術(shù),;復(fù)蘇期包括端點(diǎn)檢測(cè)與響應(yīng)技術(shù)(EDR),、基于硬件的安全技術(shù)、安全信息和事件管理(SIEM)、云訪問(wèn)安全代理(CASB)技術(shù),;成熟期包括漏洞評(píng)估技術(shù)(VA)技術(shù),。

  圖1  2021年安全運(yùn)營(yíng)成熟度技術(shù)曲線

  (注:橫軸為“時(shí)間”,,表示一項(xiàng)技術(shù)隨時(shí)間發(fā)展經(jīng)歷各個(gè)階段,,縱軸是“預(yù)期”。)

  表1:2021年安全行動(dòng)的優(yōu)先權(quán)矩陣

 ?。ㄗⅲ涸趦?yōu)先級(jí)矩陣中,,縱軸為技術(shù)的潛在效益;橫軸是按照距成熟采用期年數(shù)劃分計(jì)劃的,,該年數(shù)與技術(shù)成熟度曲線上所用的評(píng)估相同,。)

  本文著眼于安全運(yùn)營(yíng)技術(shù)成熟度曲線的前兩個(gè)階段,從20多個(gè)技術(shù)點(diǎn)中,,節(jié)選了歸屬萌芽期的外部攻擊面管理(EASM),、網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CASSM)技術(shù)和擴(kuò)展檢測(cè)和響應(yīng)(XDR)技術(shù)與歸屬膨脹期的入侵與攻擊模擬(BAS)漏洞優(yōu)先排序技術(shù)(VPT)5個(gè)新興技術(shù)點(diǎn)進(jìn)行了解析。

  1

  外部攻擊面管理(EASM)

  定義

  外部攻擊面管理(EASM)是指為發(fā)現(xiàn)面向互聯(lián)網(wǎng)的企業(yè)資產(chǎn)和系統(tǒng)及相關(guān)漏洞而部署的流程,、技術(shù)和管理服務(wù),。示例包括服務(wù)器、憑證,、公共云服務(wù)的錯(cuò)誤配置和第三方合作伙伴的軟件代碼漏洞,,這些漏洞可能會(huì)被對(duì)手利用。

  關(guān)注原因

  雖然EASM通過(guò)產(chǎn)品疊加提供數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)(DRPS),、威脅情報(bào),、第三方風(fēng)險(xiǎn)評(píng)估和漏洞評(píng)估等能力,但供應(yīng)商提供的能力方向各有不同,,需要重點(diǎn)關(guān)注市場(chǎng)需求,,并在全球范圍內(nèi)進(jìn)行擴(kuò)張。

  五個(gè)重要能力

  監(jiān)測(cè):持續(xù)掃描各種環(huán)境(如云服務(wù)和面向外部的企業(yè)內(nèi)部基礎(chǔ)設(shè)施)和分布式生態(tài)系統(tǒng)(如物聯(lián)網(wǎng)基礎(chǔ)設(shè)施),;

  資產(chǎn)發(fā)現(xiàn):發(fā)現(xiàn)和清點(diǎn)企業(yè)未知的面向外部的資產(chǎn)和系統(tǒng),;

  分析:評(píng)估和分析資產(chǎn)屬性,確定資產(chǎn)是否存在風(fēng)險(xiǎn),、脆弱性或異常行為,;

  優(yōu)先排序:對(duì)風(fēng)險(xiǎn)和漏洞進(jìn)行優(yōu)先排序,并根據(jù)優(yōu)先排序分析提供預(yù)警和優(yōu)先級(jí)分析,;

  修復(fù):提供優(yōu)先緩解措施的實(shí)施計(jì)劃,,以及修復(fù)緩解工作流程,并集成像工單系統(tǒng),、事件響應(yīng)工具,、安全編排自動(dòng)化響應(yīng)(SOAR)等解決方案。

  EASM幫助識(shí)別未知資產(chǎn),并提供系統(tǒng),、云服務(wù)和應(yīng)用程序等對(duì)攻擊者/在公共領(lǐng)域內(nèi)攻擊者可用和可見的信息,。

  業(yè)務(wù)影響

  EASM支持企業(yè)識(shí)別來(lái)已知和未知的面向互聯(lián)網(wǎng)的資產(chǎn)和系統(tǒng)的風(fēng)險(xiǎn)。安全領(lǐng)導(dǎo)可以使用EASM的功能來(lái)了解和管理來(lái)自其數(shù)字業(yè)務(wù)的風(fēng)險(xiǎn),,因?yàn)樗峁┝藢氋F的背景信息和可操作的信息,。

  資產(chǎn)的識(shí)別及清點(diǎn):識(shí)別未知的數(shù)字資產(chǎn)(如網(wǎng)站、IP,、域名,、SSL證書和云服務(wù)),并實(shí)時(shí)維護(hù)資產(chǎn)列表,。這種可見性也可以擴(kuò)展到企業(yè)的子公司或第三方,。

  漏洞修復(fù)及暴露面管控:將錯(cuò)誤配置、開放端口和未修復(fù)漏洞根據(jù)緊急程度,、嚴(yán)重性來(lái)進(jìn)行風(fēng)險(xiǎn)等級(jí)分析以確定修復(fù)優(yōu)先次序,。

  驅(qū)動(dòng)因素

  數(shù)字化業(yè)務(wù)舉措:如轉(zhuǎn)向云基礎(chǔ)設(shè)施和平臺(tái)服務(wù)以及SaaS,遠(yuǎn)程工作,,采用物聯(lián)網(wǎng)(IoT)技術(shù),,以及IT和運(yùn)營(yíng)系統(tǒng)(OT)融合,是目前出現(xiàn)新安全要求的一些關(guān)鍵領(lǐng)域,;

  在這些情況下,,EASM工具正在被廣泛應(yīng)用;

  這些工具幫助安全專業(yè)人員了解并減少對(duì)互聯(lián)網(wǎng)和公共領(lǐng)域的不必要的暴露風(fēng)險(xiǎn),,以優(yōu)先考慮需要補(bǔ)救的關(guān)鍵暴露面,。

  阻礙因素

  安全和風(fēng)險(xiǎn)管理的領(lǐng)導(dǎo)者應(yīng)該意識(shí)到,隨著EASM受益于擴(kuò)大的可見性,,在中短期并購(gòu)中存在著切實(shí)的風(fēng)險(xiǎn),,這可能會(huì)影響到初創(chuàng)公司對(duì)該領(lǐng)域的投資;

  為了充分受益于EASM解決方案的能力,,安全和風(fēng)險(xiǎn)管理(SRM)領(lǐng)導(dǎo)者將被要求能夠在多個(gè)領(lǐng)域(如IT資產(chǎn)管理,、云管理、漏洞管理等)利用它們,,而不僅僅是安全,,并具有一定程度的成熟度和資源,如專用或?qū)I(yè)人員,。

  建議

  審查工具供應(yīng)商的EASM能力,,如DRPS或漏洞評(píng)估;

  審查供應(yīng)商的能力,,如覆蓋范圍(識(shí)別),、準(zhǔn)確性(歸屬)和支持修復(fù)的自動(dòng)化水平,;

  根據(jù)公認(rèn)的用例優(yōu)先級(jí)選擇EASM服務(wù)提供商,但也要為可能延伸到DRPS用例的長(zhǎng)期要求進(jìn)行規(guī)劃,;

  評(píng)估安全組織在技能、資源和成熟度方面的準(zhǔn)備程度,,確保擁有適當(dāng)?shù)馁Y源以充分受益于EASM能力,。

  2

  網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CASSM)

  定義

  網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)是一項(xiàng)新興技術(shù),專注于幫助安全團(tuán)隊(duì)解決持續(xù)的資產(chǎn)可見性和漏洞挑戰(zhàn),。使企業(yè)能夠通過(guò)與現(xiàn)有工具的API集成,,識(shí)別內(nèi)外部資產(chǎn),查詢綜合數(shù)據(jù),,確定漏洞的范圍與安全控制的差距,,并進(jìn)行修復(fù)。

  關(guān)注原因

  CAASM超越了專注于資產(chǎn)子集(如端點(diǎn),、服務(wù)器,、設(shè)備或應(yīng)用程序)產(chǎn)品的有限范圍。通過(guò)將資源整合到資源庫(kù),,使用戶可以查詢到EASM和端點(diǎn)檢測(cè)與響應(yīng)(EDR)工具的覆蓋范圍的差距,。CAASM通過(guò)使用應(yīng)用程序編程接口(API)集成提供被動(dòng)的數(shù)據(jù)收集,取代手動(dòng)和低效的過(guò)程來(lái)收集和分析資產(chǎn)信息,。

  業(yè)務(wù)影響

  CAASM使安全團(tuán)隊(duì)能夠通過(guò)整體環(huán)境的安全控制,、安全態(tài)勢(shì)和資產(chǎn)風(fēng)險(xiǎn)的修復(fù)和處置來(lái)改善基本的安全狀況。部署CAASM的企業(yè)可以減少對(duì)自身系統(tǒng)和手動(dòng)收集過(guò)程的依賴,,并通過(guò)手動(dòng)或自動(dòng)化流程修復(fù)漏洞,。此外,這些可以直觀地看到安全工具的覆蓋情況,,并糾正修復(fù)陳舊或缺失數(shù)據(jù)的原始記錄系統(tǒng),。

  驅(qū)動(dòng)因素

  提高資產(chǎn)可見性,了解攻擊面和現(xiàn)有的安全控制的差距,;

  通過(guò)更準(zhǔn)確和全面的資產(chǎn)和安全控制報(bào)告,,快速的審計(jì)合規(guī)性報(bào)告;

  整合現(xiàn)有產(chǎn)品資產(chǎn)信息,,減少手動(dòng)流程和本地應(yīng)用程序的依賴,;

  授權(quán)企業(yè)架構(gòu)師、漏洞管理團(tuán)隊(duì)和IT管理員等團(tuán)隊(duì)訪問(wèn)綜合資產(chǎn)視圖,,從查看和查詢綜合資產(chǎn)清單中受益,;

  降低收集數(shù)據(jù)的阻力,獲取數(shù)據(jù)安全可視性(從影子IT,、已安裝的第三方系統(tǒng)等),。

  阻礙因素

  對(duì) “另一個(gè)”工具的抵制,,擁有提供資產(chǎn)可視性產(chǎn)品的企業(yè)面臨挑戰(zhàn),難以證明增加CAASM的成本和理由,;

  產(chǎn)品按資產(chǎn)數(shù)量進(jìn)行授權(quán),,對(duì)于管理著數(shù)百萬(wàn)資產(chǎn)的大型機(jī)構(gòu)來(lái)說(shuō),成本過(guò)高,;

  單個(gè)實(shí)例的可擴(kuò)展性可能會(huì)受到限制,,無(wú)論是數(shù)據(jù)收集還是工具的可用性,都有過(guò)多的數(shù)據(jù)點(diǎn),;

  缺乏CAASM集成的工具(例如,,缺乏API),擁有現(xiàn)有工具的團(tuán)隊(duì)會(huì)阻礙能力集成,。

  發(fā)現(xiàn)錯(cuò)誤時(shí)不允許對(duì)原始記錄系統(tǒng)進(jìn)行糾正,,與原始系統(tǒng)相沖突的調(diào)節(jié)過(guò)程會(huì)出現(xiàn)混亂。

  建議

  利用 POC或在購(gòu)買產(chǎn)品前試用免費(fèi)版本,。產(chǎn)品易于部署,,從而降低了購(gòu)買 CAASM 產(chǎn)品然后需要將其淘汰或更換為其他供應(yīng)商的風(fēng)險(xiǎn)。

  確定需要CAASM解決的主要用例,,如實(shí)現(xiàn)更全面的資產(chǎn)可視性,、自動(dòng)修復(fù)安全漏洞、更新記錄或減輕合規(guī)報(bào)告的負(fù)擔(dān),;

  盤點(diǎn)可與CAASM產(chǎn)品集成的可用API,,并確保有可用的賬戶進(jìn)行集成;

  拓展使用范圍,,從核心安全團(tuán)隊(duì)擴(kuò)展至多用戶(包括合規(guī)團(tuán)隊(duì),、威脅捕獵、漏洞管理團(tuán)隊(duì)和系統(tǒng)管理員),;

  詢問(wèn)現(xiàn)有的安全供應(yīng)商,,了解他們目前提供的資產(chǎn)可見性,以及他們是否有在未來(lái)提供 CAASM 功能的路線圖,。

  3

  擴(kuò)展檢測(cè)和響應(yīng)(XDR)

  定義

  XDR是一種針對(duì)供應(yīng)商的威脅檢測(cè)和事件響應(yīng)工具,,它將多種安全產(chǎn)品統(tǒng)一到安全操作系統(tǒng)中。主要功能包括安全分析,、關(guān)聯(lián)告警,、事件響應(yīng)和響應(yīng)自動(dòng)化。

  關(guān)注原因

  XDR在功能上與SIEM以及SOAR相似,。然而,,XDR的區(qū)別在于其集成和自動(dòng)化程度、易用性以及對(duì)威脅檢測(cè)和事件響應(yīng)的關(guān)注,。XDR解決方案供應(yīng)商還必須直接提供多種安全控制,,如EDR,、云訪問(wèn)安全代理(CASB)、防火墻,、身份識(shí)別與訪問(wèn)管理(IAM),、入侵檢測(cè)系統(tǒng)(IDS)等。

  業(yè)務(wù)影響

  XDR產(chǎn)品可以降低管理安全事件的總成本,,提高事件響應(yīng)團(tuán)隊(duì)的生產(chǎn)力,,并降低組織的整體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)態(tài)勢(shì)。

  驅(qū)動(dòng)因素

  中型企業(yè)正在努力解決由不同安全組件產(chǎn)生的警報(bào),。雖然現(xiàn)有的SIEM和SOAR工具可以提供類似的功能,但這些工具的成本,、復(fù)雜性和持續(xù)維護(hù)對(duì)中型企業(yè)來(lái)說(shuō)都太高,。集成和維護(hù)最佳安全工具組合所需的人員和技能太高。XDR工具主要由擁有基礎(chǔ)設(shè)施保護(hù)產(chǎn)品組合的安全解決方案供應(yīng)商銷售,,如EDR,、CASB、安全Web網(wǎng)關(guān)(SWG),、安全電子郵件網(wǎng)關(guān)(SEG)和網(wǎng)絡(luò)威脅檢測(cè)及響應(yīng)(NDR),。更高級(jí)的XDR工具通過(guò)與身份、數(shù)據(jù)保護(hù)和應(yīng)用訪問(wèn)的整合,,將重點(diǎn)放在了堆棧上,,以保護(hù)和應(yīng)用訪問(wèn)。

  阻礙因素

  只有一小部分供應(yīng)商能夠真正提供XDR產(chǎn)品,。致力于XDR方法可能導(dǎo)致對(duì)單一供應(yīng)商的過(guò)度依賴,。能夠提供XDR產(chǎn)品的大型供應(yīng)商在解決新威脅方面的執(zhí)行速度往往比最佳初創(chuàng)公司慢得多。所有的XDR工具都需要與其他供應(yīng)商的安全產(chǎn)品進(jìn)行一些整合,,但大多數(shù)XDR產(chǎn)品的整合度仍然很低,。安全產(chǎn)品的功效仍然是一個(gè)重要的因素,組合中的一些解決方案可能不如同類競(jìng)爭(zhēng)產(chǎn)品有效,。此外,,還存在對(duì)XDR供應(yīng)商提供的威脅情報(bào)和檢測(cè)內(nèi)容的單一來(lái)源的潛在依賴性。XDR工具可降低但不能消除對(duì)操作員技能和7*24小時(shí)全天監(jiān)控的需求,。XDR和SIEM產(chǎn)品之間的一個(gè)主要區(qū)別是:XDR不能滿足事件響應(yīng)以外用例的(如合規(guī)性或運(yùn)營(yíng))長(zhǎng)期日志存儲(chǔ)需求,。

  建議

  與利益相關(guān)者合作,評(píng)估XDR戰(zhàn)略合理性,;

  決策標(biāo)準(zhǔn)基于人員配置和生產(chǎn)力水平,、IT的聯(lián)合水平、風(fēng)險(xiǎn)容忍度和安全預(yù)算,,以及對(duì)單一供應(yīng)商綁定的容忍度,,以及現(xiàn)有XDR組件工具的存在,。

  制定符合XDR戰(zhàn)略的內(nèi)部架構(gòu)和采購(gòu)政策;

  根據(jù)長(zhǎng)期XDR架構(gòu)戰(zhàn)略來(lái)規(guī)劃未來(lái)的安全采購(gòu)和技術(shù)迭代,;

  尋求提供 API 的安全產(chǎn)品廠商,,以便與 XDR 進(jìn)行信息共享和自動(dòng)化。

  4

  入侵與攻擊模擬(BAS)

  定義

  入侵和攻擊模擬(BAS)技術(shù)使企業(yè)能夠持續(xù)不斷地模擬針對(duì)企業(yè)資產(chǎn)的多種攻擊載體,。BAS可以測(cè)試威脅載體,,如外部和內(nèi)部人員、橫向移動(dòng)和數(shù)據(jù)外傳泄漏,。BAS的部署利用了軟件代理,、虛擬機(jī)、云平臺(tái)和其他手段來(lái)運(yùn)行模擬,。雖然有相似之處,,但它不能完全取代紅隊(duì)服務(wù)或滲透測(cè)試。

  關(guān)注原因

  BAS市場(chǎng)正在增長(zhǎng),,有兩個(gè)主要的用例:安全控制驗(yàn)證和安全態(tài)勢(shì)評(píng)估,。BAS技術(shù)的主要優(yōu)勢(shì)包括提供連續(xù)和一致的安全控制測(cè)試的能力,以及在確定補(bǔ)救行動(dòng)的優(yōu)先次序以改善防御方面提供的幫助,。

  業(yè)務(wù)影響

  BAS允許企業(yè)自動(dòng)運(yùn)行持續(xù)的安全評(píng)估,,對(duì)企業(yè)資產(chǎn)的更大比例和更頻繁地進(jìn)行評(píng)估。BAS不斷增加新的威脅模擬,,擴(kuò)大其功能的范圍和深度,。

  驅(qū)動(dòng)因素

  BAS最常見的使用情況是自動(dòng)測(cè)試和評(píng)估公司的安全狀況。擁有成熟安全計(jì)劃的大型企業(yè)主要使用這些技術(shù)來(lái)確保一致的防御,,并測(cè)試其現(xiàn)有安全控制的配置差距和/或缺少的安全可視性,。

  周度或者日度測(cè)試用于通知IT和業(yè)務(wù)利益相關(guān)者關(guān)于安全態(tài)勢(shì)中的現(xiàn)有差距,或驗(yàn)證安全基礎(chǔ)設(shè)施,、配置設(shè)置和檢測(cè)/預(yù)防技術(shù)是否按預(yù)期運(yùn)行,。當(dāng)作為紅隊(duì)或滲透測(cè)試演習(xí)的補(bǔ)充時(shí),BAS也可用于驗(yàn)證安全操作中心的工作人員是否能檢測(cè)到特定的攻擊,。

  阻礙因素

  為了發(fā)展成為一個(gè)市場(chǎng),,BAS供應(yīng)商不僅需要來(lái)自安全運(yùn)營(yíng)中心、應(yīng)用程序和網(wǎng)絡(luò)運(yùn)營(yíng)等團(tuán)隊(duì)的內(nèi)部支持,,驗(yàn)證洞察力的質(zhì)量,,而且還需要通過(guò)標(biāo)準(zhǔn)框架擴(kuò)大診斷和基本修復(fù)指導(dǎo)。

  BAS供應(yīng)商必須克服部署和維護(hù)方面的挑戰(zhàn),,并繼續(xù)在相鄰市場(chǎng)上實(shí)現(xiàn)差異化,。大型企業(yè)已經(jīng)擁有太多的檢測(cè)方法從審計(jì)、漏洞管理,、應(yīng)用安全測(cè)試到滲透測(cè)試等,。BAS不能只是簡(jiǎn)單地增加數(shù)量,,而是要為現(xiàn)有的安全評(píng)估提供指導(dǎo)方向并豐富現(xiàn)有的安全評(píng)估。

  建議

  評(píng)估BAS技術(shù),,準(zhǔn)確,、安全模擬組織面臨威脅的真實(shí)攻擊能力;

  對(duì)公司的用例進(jìn)行優(yōu)先排序,,據(jù)用例評(píng)估BAS供應(yīng)商的能力,,確定可改善安全風(fēng)險(xiǎn)評(píng)估、威脅監(jiān)控和漏洞管理實(shí)踐的BAS技術(shù),;

  評(píng)估供應(yīng)商可提供的攻擊場(chǎng)景的數(shù)量,,模擬的更新頻率,以反映真實(shí)攻擊,;

  與審計(jì)員合作,,確定BAS技術(shù)是否可用來(lái)驗(yàn)證現(xiàn)有安全控制的有效性;

  確保BAS產(chǎn)品提供的結(jié)果是優(yōu)先,、可操作的、并可直接應(yīng)用于響應(yīng)計(jì)劃,。

  5

  漏洞優(yōu)先排序技術(shù)(VPT)

  定義

  漏洞優(yōu)先排序技術(shù)(VPT)通過(guò)集中精力識(shí)別對(duì)組織構(gòu)成最大風(fēng)險(xiǎn)的漏洞并進(jìn)行優(yōu)先排序,,簡(jiǎn)化了漏洞分析和修復(fù)/緩解過(guò)程。該方法考慮了漏洞的可利用性,、資產(chǎn)或業(yè)務(wù)的關(guān)鍵性,、漏洞的嚴(yán)重性和現(xiàn)有的補(bǔ)償控制措施。

  關(guān)注原因

  VPT支持基于風(fēng)險(xiǎn)的漏洞管理方法(RBVM),。這類產(chǎn)品和服務(wù)利用來(lái)自漏洞評(píng)估(VA)工具,、配置管理數(shù)據(jù)庫(kù)(CMDB)的遙測(cè)數(shù)據(jù)—盡管擁有CMDB并不是使用VPT的要求—以及應(yīng)用安全測(cè)試(AST)。VPT 通過(guò)利用分析和各種威脅和漏洞情報(bào)來(lái)源增加了一層情報(bào),。

  業(yè)務(wù)影響

  VPT解決方案可以被認(rèn)為是一種自動(dòng)化的形式,,它帶來(lái)了高級(jí)分析技術(shù)和漏洞情報(bào),以減少執(zhí)行人工RBVM的人力資源需求,。全球安全事件和漏洞數(shù)量的持續(xù)上升促使許多組織采用VPT解決方案來(lái)實(shí)施高效的漏洞管理計(jì)劃,。事件的增加也導(dǎo)致VA供應(yīng)商更傾向于RBVM方法。

  驅(qū)動(dòng)因素

  VPT市場(chǎng)繼續(xù)快速增長(zhǎng),。VPT能識(shí)別組織更多的實(shí)際風(fēng)險(xiǎn),,并幫助優(yōu)先修復(fù)漏洞。無(wú)論是通過(guò)修復(fù)(如打補(bǔ)?。┻€是補(bǔ)償控制(如入侵防御系統(tǒng)[IPS]和網(wǎng)絡(luò)應(yīng)用程序防火墻[WAF]),。

  此外,該解決方案還可以節(jié)省全職員工(FTE)的運(yùn)營(yíng)成本,,減少組織的攻擊面,,防止漏洞被利用,。

  RBVM是一個(gè)迭代的過(guò)程,由技術(shù)(如VA和VPT)支撐,,并觸發(fā)其他流程,,如IT運(yùn)營(yíng)執(zhí)行補(bǔ)丁管理。此外,,執(zhí)行手動(dòng)RBVM具有挑戰(zhàn)性,,它需要智能和自動(dòng)化以成功實(shí)施流程。因?yàn)樾枰紤]利用和業(yè)務(wù)關(guān)鍵性以反映組織的真實(shí)情況,,企業(yè)無(wú)法通過(guò)預(yù)先定義的通用漏洞評(píng)分系統(tǒng)分?jǐn)?shù)的傳統(tǒng)方法來(lái)進(jìn)行漏洞排序,。在VPT的情況下,這些解決方案在當(dāng)前威脅環(huán)境的背景下對(duì)漏洞進(jìn)行分析,。例如,,由于漏洞的公開可利用性,低危漏洞隨時(shí)可而轉(zhuǎn)化為高危漏洞,,而CVSS的分?jǐn)?shù)仍保持不變,。

  阻礙因素

  VPT解決方案通常由漏洞管理成熟度較高的組織利用,在基本的漏洞管理流程到位之前不應(yīng)使用,。如果漏洞管理(VM)程序中的流程被破壞,,VPT將無(wú)法發(fā)揮作用。

  VM是信息安全操作的基礎(chǔ)部分,。然而,,根據(jù)嚴(yán)重程度評(píng)分來(lái)確定漏洞的優(yōu)先級(jí),會(huì)導(dǎo)致基于單一指標(biāo)的響應(yīng),。這種指標(biāo)驅(qū)動(dòng)的輸出很少基于風(fēng)險(xiǎn),,因?yàn)闆]有考慮威脅活動(dòng)和資產(chǎn)環(huán)境等因素。

  VM 的運(yùn)用勢(shì)不可擋,,因?yàn)橛写罅柯┒闯霈F(xiàn)在報(bào)告中,,增加了其他業(yè)務(wù)部門的和安全團(tuán)隊(duì)的矛盾沖突。

  建議

  實(shí)施基于風(fēng)險(xiǎn)的方法,,將資產(chǎn)價(jià)值關(guān)聯(lián)起來(lái),,利用VPT解決方案計(jì)算出風(fēng)險(xiǎn)等級(jí)。在確定補(bǔ)救活動(dòng)的優(yōu)先次序時(shí),,這可以減少被破壞的風(fēng)險(xiǎn),。

  用獨(dú)立的VPT解決方案增強(qiáng)VA工具,以更好地確定優(yōu)先次序,,或使用現(xiàn)有的VPT功能,,協(xié)助有效的方法來(lái)減少實(shí)際風(fēng)險(xiǎn)。這可以實(shí)現(xiàn)供應(yīng)商的整合,并在新的培訓(xùn)和工具部署上投入更少的精力,。

  識(shí)別具有修補(bǔ)功能和SOAR集成的供應(yīng)商,。這使安全團(tuán)隊(duì)控制了工作流程。評(píng)估這種方法是否合適,。如果是的話,,利用修復(fù)工作流程自動(dòng)化,避免使用兩個(gè)不同的工具,。

  利用內(nèi)部安全控制的背景,,部署VPT解決方案,使現(xiàn)有的安全投資最大化,。但這種能力在整個(gè)市場(chǎng)上還不成熟,。

  選擇VPT解決方案,從多個(gè)來(lái)源匯總漏洞數(shù)據(jù),,以呈現(xiàn)面向行動(dòng)的指標(biāo),。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。