不管我們是否愿意接受，有一個(gè)殘酷的現(xiàn)實(shí)必須要面對，網(wǎng)絡(luò)安全形勢正在不斷惡化而非緩解，網(wǎng)絡(luò)攻擊的復(fù)雜性、多發(fā)性和危害性都在不斷打破記錄。在此情況下，我們應(yīng)該反思：為什么之前所做的一切努力并沒有顯著改善當(dāng)前的網(wǎng)絡(luò)安全健康現(xiàn)狀？

長期以來，網(wǎng)絡(luò)安全行業(yè)一直在不斷強(qiáng)調(diào)威脅檢測和響應(yīng)的作用，但是種種跡象表明，各種新型的網(wǎng)絡(luò)攻擊不僅沒有減少，而且似乎根本無法阻止。當(dāng)企業(yè)投入大量的資源（時(shí)間、金錢和人力）來發(fā)現(xiàn)正在發(fā)生或已發(fā)生的網(wǎng)絡(luò)攻擊，又投入更多的資源去清除威脅時(shí)，新的攻擊卻隨時(shí)會突破防御并導(dǎo)致故態(tài)復(fù)萌。在此情況下，企業(yè)安全團(tuán)隊(duì)該如何相信這種立足于檢測和響應(yīng)的安全機(jī)制會變得更好，而不是變得更糟呢？當(dāng)一種防護(hù)模式已被多次證明無力應(yīng)對當(dāng)下的安全威脅時(shí)，何不嘗試尋找一些其他的創(chuàng)新策略和思路呢？

是改變現(xiàn)狀時(shí)候了

主動安全防御的理念已經(jīng)被提出很多年，但是很多安全專家和研究人員對這個(gè)想法似乎已經(jīng)不再抱有希望，原因是由于攻擊在不斷變化，攻擊者有充分的時(shí)間和資源來設(shè)計(jì)新的攻擊策略，以繞過防御、逃避檢測。因此，基于攔截攻擊這種思路所設(shè)計(jì)的主動網(wǎng)絡(luò)安全模型在實(shí)踐中表現(xiàn)的往往差強(qiáng)人意，也就不足為奇了。

在此背景下，研究機(jī)構(gòu)Gartner提出了一種基于威脅暴露面管理的主動式安全防御的落地新思路。它并不關(guān)注攻擊事件本身，而是關(guān)注攻擊路徑，站在攻擊者的角度去思考攻擊可能發(fā)生在哪里，以及可能采用的攻擊戰(zhàn)術(shù)和實(shí)施手段，這個(gè)過程也叫風(fēng)險(xiǎn)搜尋。在識別和分析所有可能的威脅暴露點(diǎn)之后，就可以根據(jù)其脆弱程度和危害程度制定威脅暴露面管理計(jì)劃，從而系統(tǒng)性地解決數(shù)字化業(yè)務(wù)系統(tǒng)的安全隱患。因此，在Gartner給出定義中，威脅暴露面管理并不是一種技術(shù)手段，而是下一代安全運(yùn)營的創(chuàng)新模式。

威脅暴露面管理流程示意

大多數(shù)網(wǎng)絡(luò)攻擊都是需要入口的，如果企業(yè)的威脅暴露面消失了，那么攻擊行動在滲透之前就已經(jīng)失敗了。暴露面管理不是為了解決在攻擊事件發(fā)生后如何快速發(fā)現(xiàn)和應(yīng)急響應(yīng)，而是通過關(guān)閉通往敏感目標(biāo)的入侵途徑，來實(shí)現(xiàn)對其安全防護(hù)的效果。由于企業(yè)的數(shù)字化業(yè)務(wù)和資產(chǎn)在不斷變化中，因此對暴露面的管理工作也不是一勞永逸的，這是一種持續(xù)的方法和運(yùn)營過程，需要經(jīng)過安全專家的綜合分析，將合適的數(shù)據(jù)和技術(shù)結(jié)合起來，對各種暴露面進(jìn)行合理排序，實(shí)現(xiàn)最優(yōu)化的防護(hù)效果。

如果說基于威脅檢測和響應(yīng)的傳統(tǒng)網(wǎng)絡(luò)安全模型是以加強(qiáng)防御為導(dǎo)向，那么暴露面管理或?qū)㈩嵏矀鹘y(tǒng)，因?yàn)樗鼜?qiáng)調(diào)主動出擊，在攻擊發(fā)生前發(fā)現(xiàn)和修復(fù)暴露面，封堵可能被利用的攻擊路徑。通過主動管理暴露面來防止攻擊發(fā)生，這有望改變目前網(wǎng)絡(luò)安全攻防對抗中的游戲規(guī)則。

威脅暴露面管理如何實(shí)現(xiàn)？

暴露面管理的優(yōu)點(diǎn)顯而易見，但其真正實(shí)現(xiàn)也并不容易，因?yàn)樽龊帽┞睹婀芾砉ぷ餍枰踩\(yùn)營團(tuán)隊(duì)長期投入大量時(shí)間、人員及其他資源，這會比大多數(shù)安全團(tuán)隊(duì)真正可利用的資源多得多。企業(yè)安全運(yùn)營團(tuán)隊(duì)也許能找到一些暴露面，但卻無力實(shí)施完整的堵住計(jì)劃。他們可能會關(guān)閉幾條攻擊途徑，但新的攻擊途徑卻在不斷產(chǎn)生。暴露面管理會成為一個(gè)理想?yún)s不可能實(shí)現(xiàn)的概念嗎？

當(dāng)企業(yè)希望在網(wǎng)絡(luò)安全建設(shè)中顛覆傳統(tǒng)時(shí)，也必須認(rèn)真思考可行性，并設(shè)立相關(guān)的行動標(biāo)準(zhǔn)和計(jì)劃，因?yàn)榫W(wǎng)絡(luò)攻擊者就是這么做的。為了更好地將威脅暴露面管理付諸實(shí)踐，Gartner給出了一種務(wù)實(shí)且有效的系統(tǒng)化威脅管理方法論CTEM（Continuous Threat Exposure Management），通過優(yōu)先考慮高等級的潛在威脅處置，CTEM實(shí)現(xiàn)了不斷完善的安全態(tài)勢改進(jìn)，將"修復(fù)和態(tài)勢改進(jìn)"從暴露面管理計(jì)劃中分離，強(qiáng)調(diào)基于企業(yè)實(shí)際業(yè)務(wù)狀況改進(jìn)安全威脅態(tài)勢的處置要求。同時(shí)，CTEM計(jì)劃的運(yùn)作有特定的時(shí)間范圍，它遵循治理、風(fēng)險(xiǎn)和合規(guī)性的綜合要求，可為企業(yè)長期網(wǎng)絡(luò)安全管理戰(zhàn)略轉(zhuǎn)型提供決策支撐。

CTEM應(yīng)用還處在不斷優(yōu)化升級過程中，因此在優(yōu)化威脅暴露管理需要考慮以下三個(gè)關(guān)鍵要素：持續(xù)實(shí)施、系統(tǒng)框架和人工智能。威脅暴露面管理應(yīng)該是一個(gè)持續(xù)的過程，這樣才可以保障威脅防御的效果；利用已確立的網(wǎng)絡(luò)安全框架，則可以充分享用最新又準(zhǔn)確的威脅情報(bào)和處置經(jīng)驗(yàn)；而通過人工智能和自動化技術(shù)，能夠更有效地管理威脅暴露、避免人為錯誤。

在實(shí)施CTEM計(jì)劃時(shí)，企業(yè)需要讓暴露面管理評估成為一種常態(tài)，并將暴露面管理變成多層次的過程，包括如下：

●風(fēng)險(xiǎn)搜尋，旨在隔離和預(yù)測可能存在的攻擊路徑；

●危急評估，旨在按照風(fēng)險(xiǎn)級別和危害性對暴露面進(jìn)行合理排序；

●系統(tǒng)補(bǔ)救，旨在消除系統(tǒng)中存在的安全漏洞和不足；

設(shè)定目標(biāo)，旨在使網(wǎng)絡(luò)風(fēng)險(xiǎn)管理與數(shù)字化發(fā)展目標(biāo)協(xié)同一致。

當(dāng)以上四個(gè)方面要求得到持續(xù)整合時(shí)，企業(yè)就可以應(yīng)對不斷變化的攻擊環(huán)境中各種威脅。CTEM方法有望能夠更好地阻止各種新型攻擊，但也需要清楚認(rèn)知，CTEM需要不同于以往的網(wǎng)絡(luò)安全專業(yè)知識支撐。

一些創(chuàng)新的網(wǎng)絡(luò)安全服務(wù)商正在嘗試將CTEM作為一種服務(wù)來提供，幫助企業(yè)用戶提供風(fēng)險(xiǎn)搜尋、評估和補(bǔ)救，以交付企業(yè)數(shù)字化業(yè)務(wù)發(fā)展所需的安全保障結(jié)果，在此過程概念中，服務(wù)商需要有專業(yè)的團(tuán)隊(duì)和能力來幫助企業(yè)發(fā)現(xiàn)更多的潛在被攻擊路徑，并結(jié)合時(shí)間、人員和技術(shù)，實(shí)現(xiàn)暴露面管理。對于像暴露面管理這種高價(jià)值但資源密集型的工作，在一定程度上選擇服務(wù)外包是非常合情合理的，這業(yè)讓更多的企業(yè)可以利用CTEM來實(shí)現(xiàn)主動安全防護(hù)能力，從而在應(yīng)對攻擊者時(shí)占據(jù)上風(fēng)。