网络安全新挑战与应对策略

关键要点

• 网络安全的成功范式已经改变，面临着新的挑战和风险。
• 自动化、技术进步使团队难以应对海量的漏洞和警报。
• 解决快速获得的“快速胜利”问题，可以显著改善安全态势。
• 识别重要的漏洞交汇点，优先处理能带来高投资回报的问题。
• 在资源有限的情况下，聚焦于快速胜利有助于降低整体风险。

随着网络安全领域的演变，企业面临的挑战和安全风险不断加剧。多年来，缺乏对企业环境中漏洞的控制和可视化信息被视为最大的安全隐患之一。然而，随着自动化、安全性和信息技术的进步，团队现在发现自己在漏洞噪声和无害警报的海洋中苦苦挣扎，迫使他们同时优先处理和修复所有问题。

由于所需的跨部门协作，修复漏洞的时间周期显著延长，效率常常难以提高。更糟的是，漏洞管理往往无法涵盖现代安全威胁的全貌，比如错误配置、过高权限和不安全的凭证等。即使在公司努力应对经济压力、人员短缺和网络攻击者的持续威胁时，安全团队在资源有限的情况下也被期望取得更显著的成果。因此，单靠修复所有漏洞和暴露点不仅难以实现，而且对安全态势的提升作用有限。

根据我们最新的研究显示，75%的攻击路径中的暴露点实际上会导致死胡同，根本没有对关键资产造成风险。这意味着团队花费宝贵时间在处理那些对安全态势没有实质影响的问题上。

这促使许多人重新思考效率等话题，并探讨如何分配资源以最大化安全收益。在这种背景下，“快速胜利”这一概念显得尤为重要。快速胜利是指那些能以相对较小努力解决、但回报率高的安全问题。例如，及时识别和消除某个关键交汇点——攻击者在到达关键资产前必须经过的地方，通常能对安全态势产生重大正面影响。

想象一下，当我们计划一次特定目的地的公路旅行时，虽然有很多条路线可选，但往往会有一个共同的交汇点，很多车辆会在此经过。这与攻击路径非常相似，攻击者为了到达关键资产，几乎总是需要经过某个交汇点。

举个例子，我曾遇到过某个用户给系统带来了重大风险。具体来说，该组织有一个用户对约75%的关键资产构成严重威胁，而这个用户的负责人已经离职。为了让前员工能够访问员工福利项目，该组织在系统中保留了前员工的信息。在员工离职后，IT部门通常会删除用户的访问权限和组成员身份，但在这个案例中，他们未能撤销该用户更改组的权限。简单地撤销这一用户的访问权限便极大改善了他们的安全态势，成为了一个完美的快速胜利案例。

尽管快速胜利的具体内容因公司规模和技术堆栈等多种因素而异，但通过绘制攻击者可能采取的路径图，即攻击图，可以帮助识别朝向关键资产的关键漏洞交汇点。首先，识别所有暴露点，以及攻击者是否及如何可能利用这些漏洞，然后构建所有可能的攻击路径的地图。接下来，理解每个路径的重要性或权重。要评估这一点，可以考虑复杂性：到达资产所需的跳数，以及概率，即攻击者使用某一特定路径到达关键资产的可能性等因素。

通过优先解决这些快速胜利问题，组织可以降低整体风险，减少攻击路径的数量，并增强安全团队与IT和DevOps团队之间的协作。而不是要求他们修复大量的暴露点，运用快速胜利的方法确保他们将时间用于修复能够同时消除
dozens of 潜在威胁和风险的问题。如果我们回到交汇点的例子，通过切断攻击者可能采取的攻击路径，其他暴露点的紧迫性则降低。

在风险比团队能解决的问题发展得更快的情况下，偶然的修复已不再有效。团队应专注于识别快速胜利并对其进行修复，而不是试图修复所有问题。尽管这并不是一个