通过重新定义安全态势来降低风险 媒介

重塑数字安全态势的三大支柱

重点总结

作为美国陆军10山师和101空降师的退伍军人，我在伊拉克和阿富汗服役过。在准备战斗时，评估战场时总是要做出假设，比如：“如果发生攻击，这个时间段很可能来自那个方向。” 所以，虽然在战斗开始时可以稍微调整姿态，但更多的是：“嘿，战斗开始了，现在是出手的时候。”

根据我在物理和数字世界对抗威胁行为者的经验，做出一些假设是至关重要的，但在数字世界中有更多时间来调整组织的安全态势，以抵御攻击。

量化风险：可见性、暴露与威胁(VET)

如果仅靠脆弱点并不能定义安全态势，那还有哪些要素呢？虽然NIST等网络安全框架可以提供指导，但这些框架往往难以理解和实施。现在是时候简化并使安全态势可量化，通过以下三个VET支柱进行定义：

可见性

安全团队必须了解战场的情况。那么，组织的可见性水平如何呢？团队是否知道何时在AWS、Azure或数据中心中部署了新资产？安全工具是否对此有所检测？代理程序是否正确安装且配置完毕？团队对边界设备的配置是否有信心？组织在这些环境中预防或检测威胁的能力有哪些限制？确保团队在合适的位置使用合适的工具，并正确配置。

缺乏可见性是错过攻击的最大原因。为了有效保护网络，团队必须知道哪个地方存在可见性漏洞，并制定计划来解决这些问题。首先询问客户是否了解其环境中的所有资产。大多数情况下，客户的回答来源于手动维护的电子表格。

暴露

我们需要了解自身的弱点及关键风险点。当评估暴露时，自然而然会关注脆弱点，如过时的软件，但这里还有更多内容需要挖掘。理解这些暴露至关重要，但我们也必须考虑最大的风险。可以借助威胁建模技术来思考：我最担心的是什么，以及可能的攻击途径有哪些？在分析暴露时，我们的目标是更好地了解风险的分布，不仅仅是过时的应用程序或服务，还包括配置错误、暴露的S3桶和权限过大的身份及访问管理角色。全面了解暴露的广度，并定期监控和报告。

威胁

所有组织都在持续遭受攻击，各种方向的探测层出不穷。这些威胁是团队准备应对的对象，根据组织所遭受的攻击情况，能够为团队对战场的评估提供额外的视角。但团队是否了解所经历的攻击类型以及哪些资源在遭受攻击？我常常看到企业仅仅吸纳这些攻击，并将成功阻挡的攻击视为工具发挥作用的结果，然而，团队必须利用这些情报。反病毒软件发现恶意软件之前，绕过了多少控制措施？团队是否知道哪些资产经常受到攻击？团队将遇到