为什么暴露验证对网络安全弹性至关重要 [Q&A]
![为什么暴露验证对网络安全弹性至关重要 [Q&A]](http://139.155.240.214:7031/wp-content/uploads/2025/06/c301f50ff2e112c067a81d3b4a16aec8_news_20250609.jpg)
快速阅读: 据《Beta新闻》称,网络安全专家苏莱曼·奥兹阿尔斯兰强调,仅靠漏洞评估无法有效保护组织,对抗性暴露验证才是关键。他解释说,这种验证通过模拟攻击测试安全控制,帮助企业专注于真正重要的漏洞修复,而非浪费资源在低风险问题上。这一策略有助于制定持续威胁暴露管理(CTEM)计划,增强整体网络安全弹性。
为什么暴露验证对网络安全弹性至关重要 [问答]
作者:伊恩·巴克尔
发表于:51分钟前
无评论
分享
网络安全团队常常被堆积如山的漏洞压得喘不过气来,但并非所有漏洞都具有高风险。传统的暴露管理侧重于识别和优先处理风险,但如果缺乏验证,团队往往会在修复无关紧要的问题上浪费时间。Picus Security 的联合创始人兼 Picus 实验室副总裁苏莱曼·奥兹阿尔斯兰博士认为,暴露验证是风险管理中缺失的一环。我们与他讨论了组织如何超越理论风险评估,以创建更强大的网络安全方法。
BN:组织通常如何管理网络安全暴露?
SO:网络安全中的暴露是指组织 IT 环境中存在的任何漏洞、错误配置或安全缺口,网络犯罪分子可能利用这些漏洞。这些范围从物联网资产、过时软件到未修补系统,再到弱加密或错误配置的安全控制。攻击者可以通过这些防御漏洞进入关键系统。主动应对这些暴露的组织能降低遭受攻击的风险。
为了解决这些问题,安全团队通常会进行暴露评估,包括扫描漏洞、评分(例如通过 CVSS)并尝试优先处理修复。然而,正如我经常指出的那样,完成必要的步骤(例如修补已知漏洞、部署可信的安全工具并维护合规仪表板)并不一定意味着你真的安全。风险评分或合规证书只能反映某一时刻的理论风险。攻击者不会在意你的控制措施在纸面上看起来多完美;他们关心的是能否在现实中破解它们。这是组织完全依赖传统暴露评估时忽略的关键盲区。
BN:为什么仅凭暴露评估不足以保护组织的网络?
SO:暴露评估只是整个故事的一部分。组织需要做的不仅仅是发现漏洞。这就是暴露验证发挥作用的地方。没有它,暴露评估就如同诊断疾病却不去验证治疗方法。缺一不可。一个关键漏洞可能会显示可怕的 CVSS 9.8,但如果在你的环境中实际上不可利用,那可能不是你最大的担忧。与此同时,你可能有一系列中等严重级别的漏洞,结合起来时,可能为威胁行为者提供真正的攻击途径。
暴露验证是指组织通过自动化渗透测试和攻击模拟(BAS)等技术来实现,通过开展持续的实战模拟攻击来测试安全控制,发现错误配置并确保公司的防御机制正常运作。Gartner 称之为‘对抗性暴露验证’。通过验证暴露,安全团队可以专注于可利用的漏洞,而不是追逐毫无实际风险的问题。这将安全从基于‘如果这样’的猜测转变为依据实际威胁表现驱动的自信行动计划。
BN:你能举个例子说明对抗性暴露验证有何不同吗?
SO:假设一家金融服务公司进行暴露评估后发现超过 1,000 个漏洞。仅根据严重程度优先处理可能会表明大多数是‘关键’漏洞,团队可能会忙于修补所有问题。通过模拟网络攻击进行对抗性暴露验证,该公司了解到其下一代防火墙、入侵防御系统和 Web 应用程序防火墙可以防护其中 90% 的漏洞。与其花费数月修复低风险漏洞,公司可以集中精力解决剩下的 100 个真正可利用的漏洞。这不仅能节省时间和资源,还能让修复工作聚焦于真正重要的部分。
BN:什么是持续威胁暴露管理 (CTEM) 战略,对抗性暴露验证在其中扮演什么角色?
SO:CTEM 是一种结构化且持续的方法,旨在主动发现、验证并缓解威胁,以最大限度地减少组织的网络安全暴露。它包括确定哪些漏洞是可利用的,并根据真实世界威胁进行排序。作为 CTEM 的关键环节,对抗性暴露验证是从单纯的风险评分转向实际风险验证的关键环节。通过开展持续的实战模拟攻击,你可以验证哪些威胁真正重要,从而优先处理它们。结果是,CTEM 不仅仅是检查框,而是通过关注最关键威胁来加强环境。
BN:CTEM 可以用于不同的行业和企业规模吗?
SO:CTEM 对任何规模或行业的企业都很重要。主要理念——主动监控威胁、重点关注对公司来说最高风险的威胁并迭代改进——几乎适用于任何组织。无论你的业务是什么——建立数字存在感的初创公司还是拥有先进 IT 生态系统的大型组织——CTEM 都可以扩展并适应你的需求。CTEM 对处理敏感数据的行业尤其重要,如金融、医疗、IT 和电子商务。对于受监管行业的企业,CTEM 也是提升安全性和合规要求的重要部分。请注意,合规是一个基准;经过验证的暴露管理确保你真正受到保护。
BN:网络安全行业已经看到了许多厂商声称提供 CTEM 解决方案。这种趋势的风险是什么?
SO:市场上充斥着夸大现有工具为 CTEM 提供解决方案的厂商。有些甚至称他们的产品为‘AI 驱动的 CTEM’,这具有误导性。风险在于误以为购买 CTEM 就能解决暴露管理问题。CTEM 不是一项产品,而是一个集流程、人员和技术于一体的计划。危险之处在于,组织误以为购买 CTEM 就能解决暴露管理问题,而不需要构建满足其独特需求的定制计划。Gartner 制作 CTEM 指南的原因是大多数公司缺乏资源且未准备好实施 CTEM 计划。
BN:公司如何开始 CTEM 计划?
SO:CTEM 计划遵循清晰且结构化的流程,分为五个关键阶段。在范围界定阶段,安全团队需要评估关键基础设施并评估内部、外部和云攻击面的网络安全韧性。这为优先考虑关键资产并明确计划重点奠定了基础。
接下来,在发现阶段,安全团队必须清查资产并评估风险状况,找出可能影响业务运营的漏洞、错误配置和潜在隐患。在优先级阶段,团队应识别安全缺口,例如未检测到的攻击或损坏的检测规则,帮助他们集中精力修复最有效的领域。
验证阶段涉及团队通过受控攻击模拟或对手仿真测试安全防御。BAS 和渗透测试的自动化工具全面展示了安全态势。这是摆脱虚假的理论风险评分信心,建立真正安全信心的本质。
通过结合 BAS 和渗透测试的自动化与 CTEM 的战略视角,组织从仅仅声称安全转变为每天证明安全。最后,在动员阶段,安全领导者需要强调虽然自动化处理基本任务,但复杂漏洞需要人工介入。这涉及更细致、更亲力亲为的网络安全风险管理方法。
图片来源:拿蓬·拉坦拉克提亚 / 梦想图片网
图片来源:无评论
分享
(以上内容均由Ai生成)
