加强组织安全能力的关键

关键要点

• 暴露管理和验证 是增强组织安全能力的重要组成部分，提供攻击者视角的安全漏洞及安全控制效果的洞察。
• 持续威胁暴露管理（CTEM） 旨在通过一个持续的过程优化组织的安全态势。
• 很多安全厂商采用的都是部分解决方案，企业需要识别哪些漏洞对自身真正重要。
• 验证的关键角色 在于帮助组织筛选出优先级高的漏洞，确保安全团队关注最危险的威胁。
• 及时修复 可以有效避免攻击者利用漏洞进行攻击。

曝光管理和验证在提升组织的安全能力中扮演着举足轻重的角色，提供了攻击者对安全漏洞的视角，
并提供有关安全控制和流程在这些弱点被攻击时运作如何的深入洞察。这是持续威胁暴露管理（CTEM）中的关键部分，CTEM旨在通过持续的范围界定、发现、优先级排序、验证和动员来优化组织的短期和长期安全态势。

验证的关键角色

许多厂商忽视了验证这一重要步骤——这是一个关键环节，可以帮助组织将各种错误配置和漏洞扫描解决方案揭示的数百（甚至数千）个暴露风险筛选成一个有上下文的优先级清单。验证让安全团队能确定某个漏洞是否在实际构成威胁，或者现有的控制措施是否能有效阻止潜在攻击者的攻击。通过确定安全团队面临的最紧迫威胁，验证帮助组织优先应对最危险的威胁，而不是陷入看似无尽的漏洞列表之中。

厂商们不能仅仅将旧有的漏洞管理技术重新包装，更改一下名称——没有验证的 CTEM 无法有效确定某个暴露在组织特定环境中是否真的可被利用。例如，当 Log4J漏洞被公开时，许多组织急于修补其公共生产网页服务器。但在没有适当测试的情况下快速修复生产服务器可能会带来风险，甚至可能导致意外的服务中断。在验证的帮助下，组织可以确保补救措施——如网络应用防火墙（WAF）——能够检测并阻止尝试利用
Log4J 漏洞的请求。这将使得组织在保持保护的同时，给基础设施团队提供足够的时间在急于投入生产之前彻底测试补丁。

这些优先级排序功能在当今许多安全专业知识和人力资源有限的组织尤其重要。目前的网络安全技能差距使得招聘经验丰富的人才变得困难，这意味着能够简化现有员工工作的技术会有巨大的影响。通过自动测试潜在的暴露风险，安全验证让安全团队能够将时间和资源集中在最需要的地方。安全验证提供了安全团队所需的上下文，帮助他们判断攻击者实际上可以利用哪些暴露风险，从而做出相应的响应。

验证促进及时修复

随着组织寻找不断提升安全能力的方法，CTEM 逐渐受到重视，尤其是在当今不断变化的威胁环境中。但需要注意的是，如果 CTEM没有将暴露优先级与全面安全验证关联起来，那么实际上只是一种折中的措施。潜在威胁的真实风险只能在正确的上下文中理解——这意味着需要了解哪些攻击路径是可行的，以及现有的安全控制是否能应对这些威胁。通过将验证纳入暴露管理，组织可以确保其安全团队优先关注最紧迫的威胁，在攻击者有机会利用漏洞之前修复危险的暴露风险。

作者：David Kellerman，Cymulate 的现场首席技术官