受攻擊面管理策略

隨著企業紛紛移轉到雲端,其數位受攻擊面也因而迅速擴大,本文探討主動式資安風險管理如何協助您強化防禦並降低攻擊或資安事件發生的機率。

資安風險管理的必要性


數位轉型讓企業的受攻擊面迅速擴大:有 50% 的企業機構採用雲端原生方法來支援員工和客戶,此外,聯網裝置數量預計將在 2025 年攀升至 559 億台。雲端移轉與連線數量的大幅增加,為駭客帶來了新的攻擊途徑 (而且是未受管理的途徑)。

受攻擊面的擴大已衍生出新的複雜性,而這經常會讓資安營運團隊陷入被動回應事件與難以控制衝擊範圍的劣勢。

本文說明主動式資安風險管理不僅能讓 IT 和資安營運彼此之間能夠跨功能合作,打破可視性藩籬、改善威脅偵測及回應,同時還讓資安領導人更容易了解、溝通及防範整體企業的風險。

探索更多資安營運中心 (SOC) 最佳實務原則:資安營運進化的三種方式

何謂受攻擊面風險管理?


受攻擊面風險管理 (簡稱 ASRM) 意味著持續發掘、評估及防範企業 IT 環境的受攻擊面。ASRM 與資產發掘及監控不同,因為 ASRM 是從攻擊者的角度來尋找資安漏洞,發掘人員、流程及技術上的風險。

根據 ESG 報告 指出,僅有 9% 的企業認為他們有主動監控整個受攻擊面。因此也就不難理解為何 69% 的企業都曾經遭遇經由漏洞引起的某種網路攻擊。

ASRM 的目標就是要將資安風險管理營運化,而這需要持續掌握受攻擊面風險管理週期的三個階段:發掘、評估、防範。

發掘資安資產

首先,您需要完整的可視性來發掘並持續監控已知、未知、內部及外部 (對外聯網) 的資產。零散的單一面向產品,例如專為端點、使用者、裝置、雲端、網路等等設計的產品,會讓疲於奔命的資安團隊無法執行全面盤點或手動稽核。此外還要考量到新的專案經常會用到開放原始碼元件,還有隨時會登入的使用者/裝置帳號,這意味著您必須看到您整個 IT 生態系的即時變化,而非事後才知道。

企業的目標就是要掌握可視性來回答以下問題:

  • 我的受攻擊面為何?
  • 我能否完整看到我環境中有哪些資產?
  • 數量有多少?種類為何?還有相關的屬性為何?
  • 我的高價值資產有哪些?
  • 我的受攻擊面正在如何變化?

評估風險


能夠即時查看整個環境當中的變化是第一步,接下來,資安團隊必須評估任何可能存在的弱點和漏洞,並判斷其輕重緩急。這一點適用於系統,也適用於使用者,例如,高層主管通常是 變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise, BEC)最常瞄準的目標。而且我們也看到針對軟體供應鏈 及 DevOps 流程的攻擊不斷增加,表示這些流程也必須評估是否存在任何資安漏洞。

在理想的狀況下,這些風險資訊都要經過情境化來提供更好的洞察以回答下列問題:

  • 我能否將風險量化?我的整體風險評分如何?
  • 我的風險評分長期來看是在上升還是下降?
  • 我的評分和同業相比如何?
  • 我最大的資安風險在哪裡?
  • 我有哪些風險因素需要立即關注?

防範風險


發掘及評估您數位受攻擊面的風險固然重要,但取得可採取行動並經過優先次序過濾的建議來降低曝險也同樣至關重要。虛擬修補、變更預防性管控的組態設定,以及調整使用者存取權限等等,都是一些範例。

除此之外,企業還要盡可能將防範作業自動化以提高效率並降低駭客攻擊得逞或資安事件發生的機會。

人才短缺的問題,確實為受攻擊面的管理帶來了真實的挑戰,所以,趁機建立一套通用的框架以及單一的窗口,對於有效的資安風險管理非常重要。這就是延伸式偵測及回應 (XDR) 與零信任策略派上用場的時候。

XDR 的重要性


XDR 的投資,意味著資料、數據分析與整合,它是一種扮演底層基礎的技術,可服務其他應用情境,並提供超越偵測及回應領域的洞見和營運價值。

能更主動地判斷風險的優先次序並加以防範,對營運中心 (SOC) 來說非常有用,因為這能降低整體曝險與資安事件的衝擊。而 XDR 偵測所蒐集的資料還能反過來提供有關受攻擊面威脅活動的寶貴洞見,並了解當前的防禦成效。而這些資訊又能提供給風險評估和回應建議做參考。

更多細節請參閱「 威脅偵測及回應 (XDR) 改善指南」(Guide to Better Threat Detection and Response (XDR) 一文。

支援零信任策略


主動的資安風險管理必須仰賴零信任策略元素的營運化,零信任是最低授權原則的進一步延伸:任何連線 (不論是否來自內部網路) 都必須被視為不可信任。這在今日高度聯網與遠距上班的環境尤其重要,因為有更多不同的進入點和連線方式可以進入企業。

根據經驗,這需要一種持續不斷的程序來隨時評估身分、使用者/裝置活動、應用程式、漏洞,以及裝置組態設定。像這樣的持續評估需求已使得許多 SOC 轉而採用安全存取服務邊緣 (SASE) 架構,它能將各種分散的功能整合在一起,例如:雲端應用程式安全代理 (CASB)、安全網站閘道 (SWG) 以及零信任網路存取 (ZTNA) 來實現更精細的網路存取控管。

綜合起來,XDR 與風險洞見,再搭配零信任防範措施,就能讓企業進一步改善資安。XDR 能提供一個紮實的基礎來驗證和建立零信任,而且 XDR 會持續蒐集並交叉關聯資料,所以能支援零信任策略所需的持續評估。

下一步


更好的數位受攻擊面管理要從挑選適當的工具著手:一套具備廣泛第三方整合能力的全方位網路資安平台就能夠輕易融入您現有的資安環境。

例如 Trend Vision One 就是您可考慮的方案,它具備了各種創新功能,包括:XDR、持續性威脅監控、風險評估,以及自動化,既能減輕資安團隊負擔、加快偵測及回應速度,又能達成法規與網路資安險的要求。

如需有關受攻擊面管理的更多資訊,請參閱以下 SOC 系列文章:

◎原文出處:Attack Surface Management Strategies