Každé pondělí vám Tenable Exposure Management Academy poskytne praktické rady v reálném světě, které potřebujete k přechodu od správy zranitelnosti k řízení expozice. Představíme Vám přehled rozdílů mezi těmito dvěma a prozkoumáme, jak může řízení kybernetické expozice prospět vaší organizaci.
Tradiční správa zranitelnosti vždy spočívala v identifikaci a opravě zranitelností – doufejme, že tak rychle, jak se objeví. V praxi, dokonce i s rozumnými dohodami o úrovni služeb (SLA), musí IT obvykle tato rizika zmírňovat. Ne vždy se však umísťují na první místo v seznamu priorit IT, takže je ponecháno otevřené okno, které mohou útočníci použít k získání oporu. Růst CVE (v roce 2021 bylo 20 161 nových CVE; do roku 2024 se toto číslo téměř zdvojnásobilo na 40 077) vedl k tomu, že týmy byly zahlceny hledáním zranitelností. Ale CVE jsou jen částí obrázku.
Zpráva americké Agentury pro kybernetickou bezpečnost a bezpečnost odhaluje, že 90 % počátečního přístupu ke kritické infrastruktuře přichází prostřednictvím kompromitace identity – jako je phishing, kompromitovaná hesla, systémy identity a chybná konfigurace. Stejně alarmující je, že zpráva Tenable Cloud Risk Report 2024 ukazuje, že 74 % organizací veřejně odhalilo aktiva úložiště, včetně těch, které obsahují citlivá data. Tentýž výzkum zjistil, že 84 % organizací vlastní nepoužívané nebo dlouhotrvající přístupové klíče s kritickými nebo nadměrnými oprávněními s vysokou závažností, což vytváří významnou bezpečnostní mezeru.
Tváří v tvář těmto výzvám postrádá většina vedoucích pracovníků v oblasti bezpečnosti soudržné, celopodnikové chápání rizik. Jak jsou nové technologie pravidelně přijímány, přicházejí doprovázeny novými hrozbami. V reakci na to většina bezpečnostních týmů jednoduše přidá nový bezpečnostní nástroj a tým na obranu tohoto nového útočného povrchu. V důsledku toho je bezpečnost nesouvislá. A přestože je řízení zranitelnosti kritickou složkou kybernetické bezpečnosti, zaměřuje se pouze na část rizik, kterým lze předejít. Konečným výsledkem je roztříštěná viditelnost s mezerami, které zanechávají organizace zranitelné.
Zde přichází ke slovu správa expozice. Poskytuje vedoucím pracovníkům v oblasti zabezpečení procesy a technologie, které potřebují k neustálému hodnocení dostupnosti, využitelnosti a kritičnosti digitálních aktiv napříč všemi systémy, aplikacemi, zařízeními, zdroji a identitami. V důsledku toho mohou bezpečnostní lídři proaktivně odpovídat na otázky týkající se rizika expozice jejich organizace.
Co je řízení expozice v kybernetické bezpečnosti?
Pokud prozkoumáte řízení expozice na základě rizika vs. řízení zranitelnosti, uvidíte vývoj, který poskytuje holističtější, programatičtější přístup k nákladově efektivnímu rozhodování. Rozkládá sila a faktory ve zjištěních, jako je pravděpodobnost útoku, oprávnění k identitě, životaschopnost cesty útoku a kritičnost podnikání. To umožňuje bezpečnostním týmům upřednostňovat skutečnou expozici a nejprve mobilizovat reakce na nejpůsobivější rizika. A to znamená, že tyto otázky z rady můžete snáze řešit.
Zkoumání kontinua zabezpečení
Abychom pochopili, kam zapadá důležitost nepřetržitého řízení expozice v kontextu vašeho celkového programu kybernetické bezpečnosti, pojďme prozkoumat kontinuum zabezpečení.
Zdroj: Tenable, březen 2025
Linie porušení je uprostřed. Vše napravo je svět reaktivní bezpečnosti. V tomto případě již probíhají útoky nebo porušení. Vlevo od linie porušení je svět proaktivního zabezpečení.
Reaktivní zabezpečení je o správě aktivních hrozeb a incidentů. Cílem je minimalizovat potenciální dopad materiálu. Z tohoto důvodu směřoval v posledních letech větší podíl investic do reaktivní bezpečnosti.
Ale s tím, jak stále více řídících orgánů nyní vyžaduje zveřejňování porušení, jako je americká Komise pro cenné papíry a burzy (SEC), se zátěž mění.
Kromě regulačních tlaků jsou porušení často doprovázena dopadem na příjmy a nevyčíslitelným poškozením značky, loajality zákazníků a zájmu investorů. To vše podtrhuje potřebu efektivnějšího přístupu k proaktivnímu zabezpečení, jako je řízení expozice.
V důsledku toho je řízení expozice přijímáno různými organizacemi – od nadnárodních telekomunikačních společností po agentury veřejného sektoru – protože bojuje se třemi základními výzvami, kterým čelí každá organizace:
- Umlčená viditelnost útočné plochy: Útočná plocha se vyvíjela a dodavatelé vytvořili nespočet nástrojů, které se zaměřují na konkrétní technologické domény, jako je IT, cloud, identita, OT/IoT a aplikace. Každý z těchto nástrojů často zvládá podmnožinu potenciálních rizik – napříč zranitelnostmi, nesprávnou konfigurací nebo oprávněními. Tento tichý přístup ke správě povrchu útoků ponechává mezery ve viditelnosti, které mohou útočníci využít.
- Malý kontext: Fragmentovaná data také znemožňují porozumět útočníkově perspektivě – vztahům mezi aktivem, identitou a rizikem, které tvoří životaschopné cesty útoku vedoucí ke korunovačnímu klenotu. Soubor nástrojů také málo pomáhá vedoucím pracovníkům v oblasti zabezpečení porozumět potenciálnímu významnému dopadu vystavení se riziku na příjmy, obchodní procesy a kritická data.
- Neschopnost mobilizovat zdroje: Jednotlivé nástroje zabezpečení poskytují roztříštěnou mozaiku pokynů a pracovních postupů pro nápravu a omezené způsoby měření a komunikace pokroku. V důsledku toho je pro bezpečnostní týmy významnou výzvou zjistit nejlepší nápravu a také jak a kde mobilizovat zdroje a sledovat stav nápravy.
Jak pomáhá řízení expozice
Správa expozice pomáhá tím, že poskytuje úplný přehled o povrchu útoku a týmy s kritickým kontextem, které musí upřednostňovat skutečné obchodní expozice. To znamená, že bezpečnostní týmy jsou nezatížené a mohou být efektivnější a zároveň méně reaktivní. Pojďme se ponořit trochu hlouběji a prozkoumáme, jak v pěti krocích správa expozice pomáhá zlepšit vaši bezpečnost.
Krok 1: Poznejte svou útočnou plochu
Platformy pro správu expozice zjišťují a agregují data o aktivech na celém externím a interním povrchu útoku, včetně cloudu, IT, OT, IoT, identit a aplikací, a poskytují holistický pohled na povrch útoku.
Krok 2: Identifikujte všechna rizika, kterým lze předejít
Správa ohrožení detekuje tři formy ohrožení, kterým lze zabránit, aby útočníci získali počáteční přístup a přesunuli se do strany: zranitelnosti, nesprávné konfigurace a nadměrná oprávnění. Bezpečnostní týmy mohou rychle identifikovat aktiva, která představují největší potenciální riziko pro organizaci.
Krok 3: V souladu s obchodním kontextem
Označování aktiv umožňuje bezpečnostním pracovníkům logicky seskupovat aktiva napříč technologickými doménami a sladit je s důležitou obchodní funkcí, službou nebo procesem. Skóre kybernetické expozice poskytují rychlé obchodní pohledy na expozici a ukazují změny expozice v průběhu času.
Krok 4: Opravte skutečnou expozici
Podrobné mapování vztahů mezi aktivy, identitou a riziky odhaluje cesty útoku, které vedou ke korunovačním klenotům organizace. To poskytuje bezpečnostnímu personálu perspektivu útočníka, což je zásadní pro oddělení hlučných nálezů od skutečných expozic, které mohou mít materiální dopad na organizaci.
Krok 5: Průběžně optimalizujte investice
Schopnost kvantifikovat vaše celkové skóre kybernetické expozice a porovnat je se srovnávacím skóre kolegů ve vašem odvětví zjednodušuje zdůvodnění rozpočtu a zároveň pomáhá vedoucím pracovníkům v oblasti bezpečnosti odpovědět na kritickou otázku: „Jsme v bezpečí?“
Každý z těchto kroků podrobněji prozkoumáme v bílé knize „Útočníci nectí sila: Pět kroků k upřednostnění skutečného obchodního vystavení.“
Propojením a integrací lidí, procesů a technologií napříč tradičními silami zlepšuje správa expozice spolupráci a efektivitu a uvolňuje vedoucí pracovníky v oblasti zabezpečení a IT týmy, aby se soustředili spíše na strategické iniciativy než na poslední krizi.
Kdo může mít prospěch z řízení expozice?
Výhody řízení expozice mohou být transformační. Ať už jste praktik, který je natažený, manažer, který se potýká s pochopením rizika, nebo manažer na úrovni C, který se tím vším trápí, řízení expozice vám může pomoci.
- Bezpečnostní praktici: Páteř každé bezpečnostní organizace, praktici dělají těžkou práci. Jsou notoricky soběstační, ale potřebují několik věcí: viditelnost na útočnou plochu a jednotný pohled na všechna aktiva. To přináší platforma pro správu expozic – zjednodušuje stanovení priority nápravy zranitelností softwaru, nesprávné konfigurace a nesprávně přiřazených oprávnění k pověření.
- Bezpečnostní manažeři: Jen o něco dále v řetězci potřebují bezpečnostní manažeři vhled a kontext o hrozbách, aktivech a privilegiích, aby mohli rozdělovat zdroje mezi týmy a zvládat jejich nejnaléhavější bezpečnostní potřeby. Platforma pro správu expozic poskytuje sdílenou viditelnost a přehledy potřebné pro lepší spolupráci mezi týmy a lepší využití omezených zdrojů, které mají k nápravě a reakci.
- Bezpečnostní manažeři: CISO, business Information Security Officeři (BISO) a další bezpečnostní manažeři vyžadují přesné vyhodnocení rizikové pozice, aby mohli zlepšit investiční rozhodnutí, rozhodovat o pojištění, splnit regulační požadavky a požadavky na shodu a podpořit organizační zlepšení. Platforma pro řízení expozic poskytuje užitečné metriky, které pomáhají vedoucím pracovníkům v oblasti bezpečnosti měřit, porovnávat a komunikovat expozice a snižování kybernetických rizik nejen operačním týmům v rámci IT a bezpečnosti, ale také netechnickým vedoucím pracovníkům a provozním týmům v celém podniku.
Jídlo s sebou
S tolika hlukem v zabezpečení je to, co neděláte, stejně důležité (nebo ještě důležitější) jako to, co skutečně děláte.
Řízení expozice je evoluční přístup a je přijímán napříč průmyslovými odvětvími a geografickými oblastmi jako způsob, jak odstranit složitost, zaměřit týmy a pochopit celý povrch útoku. Scvrkává se na sjednocení viditelnosti, vhledu a akce.
Řízení expozice vyžaduje změnu myšlení – uznání, že ne vše je kritické a ne všechna rizika jsou rovnocenná. To může být zpočátku problém. Ale přemýšlejte o tom: Přístup „všechno je kritické“ vede k vyhoření, neefektivitě a většímu vystavení se riziku. Správa expozice vám umožní upřednostnit věci, na kterých záleží nejvíce: expozice, které mohou mít skutečný dopad na korunovační klenoty a organizaci.
Když se vydáte na cestu řízení expozice, stanete se součástí rozšiřující se komunity bezpečnostních profesionálů, kteří razí novou cestu. Pro více informací nás neváhejte kontaktovat.
Zdroj: Tenable
