作者:綠盟科技 張睿


摘要:持續威脅暴露管理受安全技術與理念發展、安全攻防態勢多重影響,成為2024年安全領域的熱點主題。于產品層面,預期持續威脅暴露管理將向下全面納管攻擊面、漏洞、安全驗證,向上支持威脅檢測響應、風險管理與合規、優化安全態勢,成為提升安全治理效能的關鍵技術;于產業層面,持續威脅暴露管理也因直擊安全防什么、如何驗證、如何達成跨組織團隊共識的痛點,成為推動產業供給側開放融合、數據與資源共享,提振需求側安全投入獲得感的亮點內容。


關鍵詞:威脅暴露管理 安全驗證 配階發展 開放融合


2022年,知名IT研究機構Gartner正式提出持續威脅暴露管理概念(Continuous Threat Exposure Management,CTEM)。2023年10月,CTEM入選該機構2024十大戰略技術趨勢,成為與當前極度火熱的生成式AI、AI增強開發等一系列內容并駕齊驅的關鍵主題。


通過CTEM理念的孕育和發展路徑,不但能夠有助于我們理解2023年國內安全市場有關攻擊面管理(Attack Surface Management, ASM)、網絡空間資產攻擊面管理(Cyber Asset Attack Surface Management, CAASM)、外部攻擊面管理(External Attack Surface Management,EASM)以及更早的漏洞優先級技術(Vulnerability Prioritization Technology, VPT)、安全運營等技術之間的關聯關系,更有助于各方把握安全發展階段,于供給側指導產品、技術的升級迭代,于需求側指導分析安全需求并形成科學合理的建設路徑。


如果說ASM是風險管理、資產管理、漏洞管理、網絡空間測繪等相關概念發展后,又一深刻影響到資產與漏洞管理模式的技術理念,那么CTEM將會從2024年,開啟持續化資產、威脅、漏洞管理,進而推動安全驗證整合,實現威脅與暴露閉環管理,進一步拉升安全價值的新時代。


一、持續威脅暴露管理的內涵


持續威脅暴露管理于定義方面,CTEM采用了五步閉環框架,如圖1所示。五個階段依據推動順序,分別為定范圍(Scoping)、發現(Discovery)、優先級(Prioritization)、驗證(Validation)、行動(Mobilization)。如上前三步歸屬至檢測環節,而最后兩步歸屬至執行環節。



圖1 持續威脅暴露管理五步閉環框架


在理解CTEM內涵時,首先需要明確其與各種概念的不同之處。CTEM概念于構建之初,其定位于安全技術的融合,目的是明確一種集成的、迭代的方法,用于確定安全方案優先順序,以不斷改進安全態勢,而并非管理流程框架,更不是營銷概念。CTEM強調多技術、產品的協調融合,不能等同于漏洞管理、風險管理,也不是獨立產品的堆砌。CTEM極大地強調了安全驗證的地位,給予其非常高的重要性,既作為后續行動的基礎,也凸顯了CTEM與當前各類管理或是治理框架的差異。此外CTEM于執行階段的最后一步,采用了Mobilization,而非管理流程中常見的Act,側重于多團隊的協同配合,不只局限于安服團隊的應急響應與業務恢復。


其次,從概念相同之處理解CTEM內涵,需要區分與兩大框架的承接關系,即美國國家標準與技術研究院NIST的CSF(Cybersecurity Framework,網絡安全框架),以及2018年發布的CARTA(Continuous Adaptive Risk and Trust Assessment,持續自適應風險與信任評估),我們認為三者間的關系如圖2所示。



圖2 CTEM與NIST CSF2.0及CARTA的關系


NIST CSF是一種基于風險的頂層治理框架,自2014年首次發布以來已被廣泛應用,當前CSF已經發布了2.0版本征求意見稿,并于2023年11月完成意見征集。通常治理框架會強調跨標準的兼容性和適配,以保證一致性和適用范圍,如NIST CSF會進行ISO 27001、ISO 27701、COBIT、ANSI/ISA-62443等標準的映射,這是CTEM作為技術框架不會關注的重點,因為其并不關注跨標準復評、復測的管理和財務資源浪費以及調度。


此外,CARTA是一種戰略方法,依然關注于頂層,其開發過程考慮了NIST CSF的兼容性,目的是通過動態智能分析來評估用戶行為。CARTA承認了沒有絕對安全的狀態,放棄追求完美的不可達目標,而是通過自適應持續評估實現風險與信任的動態平衡。CTEM因為側重技術實現,其關注戰術層面的產品和功能融合,向上可以關聯NIST CSF與CARTA,但不可以通過戰略和治理框架的適用而直接忽略戰術執行層面的落地。與此同時,我們可以清楚地看到NIST CSF、CARTA和CTEM的相似之處,流程上強調單向性、閉環運作,尤其是CTEM與CARTA在“持續性”方面,均關注檢測標的物的及時性和時間連續性,規避傳統階段性、周期性、事件觸發的“檢測時間盲區”,而現實安全行業圍繞風險評估、漏洞掃描、應急響應,乃至等級保護等場景,全部無法避免如上時間盲區的問題。


二、CTEM關聯要素分析


要更加全面地理解CTEM的內涵,除了以上所述的五步閉環框架,在CTEM關聯要素層面也可以從兩個維度進行分析。首先,從外部環境維度,分析CTEM自身于企業架構中的地位;其次,從內部環境維度,分析CTEM的功能組成。


外部環境維度方面,CTEM定位于面向三方的匯集中心和中轉節點,如圖3所示。涉及的三方分別是威脅檢測與響應、處置并優化態勢、風險治理與合規。



圖3 外部環境維度下的CTEM接口關系


CTEM從三個層面向上述三方提供接口和能力,第一層次為產品功能層,保證檢測、處置、治理的數據貫通和聯動;第二層次為管理流程層,實現定范圍、監控、響應等流程于系統平臺的銜接;第三層為人員團隊層,基于功能技術、管理流程的鏈條拉通,實現人員的通力配合和一致行動。


將如上接口關系同CTEM五步閉環框架進行關聯,如圖4所示。風險治理與合規模塊與CTEM第一步定邊界階段必須強關聯,明確資產、攻擊面、暴露范圍、合規要求的邊界;處置并優化態勢模塊與CTEM第三步強關聯,在于分析安全策略的執行重要性順序,保證時效性落實;威脅檢測與響應模塊與CTEM第五步強關聯,確定行動方案和響應的多層級合作,保證行動的有效性。



圖4 CTEM五步與外部接口關系


除單步強關聯階段,外部流程同時會前后關聯兩個相鄰階段,以風險治理合規模塊為例,CTEM第一步定邊界為主關聯步驟,第二步發現階段以及第五步行動階段分別需要從擴增入庫和縮減下線兩方面支持邊界的動態管理。


內部環境維度,分析CTEM的功能組成是區分子模塊、子功能于總體平臺的作用、呈現的關鍵,我們首先可以從暴露管理(Exposure Management,EM)的定義來梳理部分關鍵要素,如圖5所示。暴露管理屬于頂層概念,其包容了攻擊面管理、漏洞管理、安全驗證三項關鍵能力。以漏洞掃描、漏洞管理、VPT技術為代表的關鍵基礎性工作是三大能力的中心,其并不會因ASM的出現直接被取代,它是ASM的關鍵協同內容,也是網絡安全運營工作的基礎。與此同時,也不能因為存在漏洞管理能力,直接轉化為ASM或是忽略安全驗證,因為ASM的資產視角大于傳統漏洞管理涉及的資產視角,而沒有安全驗證的攻擊面、漏洞管理無法對關聯發現進行分類分級,難以保證有效的安全行動。CTEM除了暴露管理,威脅管理是其另一大關鍵功能,其底層極大依賴威脅情報(TI)挖掘與關聯分析,且需要有機結合EM,TI的導入能夠橫向賦能暴露管理的三個功能,即ASM、漏洞管理、安全驗證均可以通過TI進行數據獲取廣度、功能效果的提升。



圖5 內部環境維度下的暴露管理組分構成


三、透過CTEM反觀網安產業發展之痛


通過CTEM理念,其發展是受到各類安全技術、理念迭代發展以及多方角力影響的結果。反觀安全產業,當前三大問題成為日益強烈并考驗安全企業組織價值的核心,也是奠定CTEM價值的關鍵。


首先,防護的邊界是什么?安全防護資產的邊界不斷模糊和異化,受到云計算、容器、人工智能技術的迅速發展影響,組織機構于資產管理上不但要求突破傳統臺賬、資產核查工具、CMDB(Configuration Management Database,配置管理數據庫)導入的IT資產納管范圍,還需具備終端App、小程序、API接口、代碼庫、泄露數據的管理;于新型技術和異構環境資產方面,能夠識別納管諸如工業互聯網、車聯網、物聯網、5G網絡、AI生成的相關等資產;于識別資產廣度,不但需要能夠管理已知資產,還需探測未知不受控資產、未授權資產、影子資產,尤其受虛擬資產與數據確權未來發展趨勢的沖擊,針對泛資產的發現和權利保障,諸如企業虛擬資產保護、商譽保護、知識產權監控與保護等內容成為重要而且極具挑戰的領域。


其次,如何驗證?驗證是安全領域持續研究討論、持續提升的永久主題。驗證涉及了安全業務的完整鏈條,有關資產權屬、資產關聯關系、漏洞分布、POC(Proof of Concept,概念證明)、IOA(Indicator of Attack,攻擊指標)、IOC(Indicator of Compromise,攻陷指標)的驗證,乃至涉及人員與實體的身份、授權、訪問行為、上下文關聯的驗證等。安全驗證傳統依賴安全服務疊加工具的方式,即屬于半自動化人工驗證組合模式。但受資產、脆弱性、威脅多重因素和數據量的不斷攀升以及人員能力差異,當前人工驗證的準確性、效率和成本均成為限制安全驗證發展的瓶頸。雖然BAS(Breach and Attack Simulation,入侵與模擬攻擊)從2017年提出,已經發展了6年的時間,但離智能自動化攻擊模擬驗證的技術與產品成熟和規模化發展還有距離,依然需要時間,其既受安全技術成熟度的影響,也受融合生態的完整度影響。



圖6 安全產業三大痛點


最后,如何達成共識?有關安全共識,不但是安全策略的基礎,也是安全價值認知的核心。其涉及安全需求方之間(Client-Client, C-C,本文均以Client而非Demand代表需求方)、供給方之間(Supplier-Supplier,S-S)、供給方與需求方之間(Supplier-Client,S-C)的共識。C-C的共識涉及組織機構內安全部門與IT部門、安全部門與業務部門、安全管理層與公司治理層、組織機構與監管機構;S-S的共識涉及安全廠商內部跨產品跨部門、安全廠商之間、安全廠商與網絡及系統供應商;S-C的共識涉及安全廠商與采購組織機構、安全廠商與監管機構。如上三類共識是安全價值實現確立、傳遞、提升不斷努力的方向,也是安全產業做大做強的關鍵問題。


四、CTEM對網安產業發展的影響


結合安全產業痛點以及CTEM內涵和組分要素,有關安全產業影響可以從兩個方面分析,如圖7所示。



圖7 供需關系下的安全產業影響


首先是從需求側出發,總體需求方依據安全團隊能力與規模、資源配備體量可以劃分為高成熟度A區和一般成熟度B區。因為CTEM的高集成、高融合性,B區機構組織需要根據已有安全資源和基礎能力進行分階段、漸進式導入,即匹配能力成熟度的發展階段實現配階發展,而非一次性采購。同時鑒于B區機構組織資源配備的有限性,會引入托管與外包服務,所以CTEM的價值發揮也要求采購方具備合理的考核供應商能力,而關聯能力的導入和預算要求,預期需要3-5年的時間積累和持續建設。


A區機構組織因為持續的安全投入以及成熟的能力儲備,CTEM需要極大的關注既有安全能力、流程的互聯與貫通,尤其是跨產品、跨平臺、跨廠商的融合,既保證已有投入的復用防止重復建設,又保證CTEM的項目效果成功實現。此外,A區機構組織往往也受到更高的合規監管強度,基于“人因”的身份精細化管控、授權、資源使用預期需要同CTEM不斷融合。所以同既有IAM(Identity Access Management,身份認證管理)、ZTA(Zero Trust Architecture, 零信任架構)融合,保證圍繞“人因”的一系列行為監控,實現IRM(Insider Risk Management,內幕風險管理)和外部非法訪問的溯源管理,預期成為高成熟度組織機構的需求。


其次,從供給側考量,CTEM因為對安全驗證的特別關注,將會要求安全廠商與服務商實質化提升安全自動化驗證能力,增強圍繞BAS進行的技術與產品迭代,其不再遵循早期大范圍、大日志與流量分析、強前端的平臺化產品發展路徑。


與此同時,CTEM對安全效果的追求會驅動傳統安全廠商與服務商革新研發和服務模式,進一步強化小范圍、高精度、高準確性的能力和產品實現,也因此催生細分領域廠商市場發展并帶來更高的曝光度,同步推動關聯細分市場的公司兼并收購進程


最后,CTEM會對傳統安全廠商的開放性進一步帶來挑戰,市場要求產品接口層面的互聯互通呼聲會更高,同時對傳統安全服務商尤其是極度依賴人員駐場交付的公司帶來沖擊,不斷促進產業生態的多層次融合。

威脅暴露管理 安全驗證
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接