文章来源:https://cloudsecurityalliance.org/blog/2024/04/25/why-business-risk-should-be-your-guiding-north-star-for-remediation
本文翻译来自CSA翻译组:
翻译:杨皓然,CSA大中华区专家
审校:何伊圣,CSA翻译组轮席组长
我们都知道罪魁祸首。云采用、远程和混合工作安排以及一系列必备技术导致了不断扩大的攻击面,迫使组织在网络防御中变得更加敏捷和反应灵敏。
驯服这头笨拙的野兽似乎是每个人都在考虑的问题,因为预计2023年全球安全和风险管理支出将增长11%以上,从2021年的1580亿美元增至1880亿美元。
但仅仅改进当前的安全实践不足以应对当今不断变化的威胁形势。根据2023年Gartner®Hype Cycle™for Security Operations,“安全和风险管理(SRM)领导者必须制定以业务风险为中心的战略,而不仅仅采用新的方法来更好地完成相同的事情。”
简而言之,组织需要一种新的方法来保护其攻击面。
为什么保护攻击面如此复杂
那么,发生了什么变化?
首先,攻击面的规模很大。如今,攻击面包括从Web应用程序到物理设备、云服务和工作负载的所有内容。这意味着安全和风险管理领导者需要了解所有这些不同类型的攻击面的细微差别以及如何保护它们。许多组织可能没有资源来全面监控每一个角落,从而造成难以保护的盲点。
此外,组织意识到他们需要不断管理由各种安全漏洞带来的风险,而不仅仅是软件漏洞。网络或安全控制配置错误、凭据泄露、协议滥用和安全卫生状态不佳都可能被遗漏,使企业暴露在风险之下。
不祥之兆很明了,行业思维方式和安全解决方案也在相应地转变。正如今年Gartner安全运营技术成熟度曲线报告中所解释的那样,“创新触发器上越来越多的技术[意味着]需要克服攻击面的复杂性。”
纵深防御不足
今年早些时候,我们在Pentera采访了300名高级安全专业人员,了解他们的安全实践。尽管他们的安全架构中平均有44个工具,但这些公司自我报告反映,在报告撰写时,超过88%的公司在过去24个月内经历了漏洞。
考虑到当今攻击面的规模和不断增长的安全工具栈,管理更小、更简单的攻击面已经变得困难。安全团队发现自己深陷警报和漏洞的泥沼中,却无法抽出时间和资源来逐一审查、验证和确定每一个漏洞的优先级。
那么,组织应该做什么呢?
让您的情报可操作化:
将业务风险作为您修复工作的北极星
Gartner Hype Cycle报告指出,“SRM(安全风险管理)领导者应该采用基于暴露的方法来提高业务相关性。” 通过专注风险暴露,安全团队可以将其工作与其组织的优先事项保持一致。就像捍卫者致力于保护王冠上的宝石一样,使用业务的实际风险作为衡量安全有效性的手段是最佳选择。
Gartner提供了一个新的框架来帮助SRM领导者实现这一目标。持续威胁暴露管理(CTEM)使用各种技术作为持续流程的一部分,以确定、发现、验证安全漏洞并确定其优先级来进行补救。
CTEM方法的基础是采用对手的视角来加强防御。组织需要了解攻击者最有可能破坏他们环境的地方,并制定行动来最有效地减少暴露。
问题是,什么是最好的开始方式?
使用自动安全验证向CTEM迈出第一步
转向网络安全运营的新方法可能是一个具有挑战性的、令人畏惧的过程。但有一种实用的方法可以通过发现和修复对手最有可能利用的安全漏洞来实现快速影响——自动化安全验证。
安全验证通过基于证据的方法提高安全就绪度 - 揭示现有安全控制和实践在防止真实攻击方面的有效性,以及它们存在不足的地方。这为CISO和安全团队提供了一个可操作的路线图,以减少安全风险,并随时间推移对其安全有效性进行基准测试。
实施一个自动安全验证解决方案,该解决方案本身结合了有效暴露管理策略的许多核心能力(从攻击表面发现到验证和漏洞优先级划分),这是采用CTEM方法简单的第一步。
推荐阅读
