暴露驗(yàn)證（有時(shí)稱為對(duì)抗性暴露驗(yàn)證）使團(tuán)隊(duì)能夠?qū)Ｗ⒂谧钪匾膯?wèn)題并最大限度地減少干擾。與福爾摩斯的演繹推理類似，暴露驗(yàn)證會(huì)引導(dǎo)組織發(fā)現(xiàn)漏洞，如果不加以解決，可能會(huì)導(dǎo)致安全漏洞。

在討論更多技術(shù)細(xì)節(jié)之前，讓我們回答主要問(wèn)題：為什么檢查暴露對(duì)于每個(gè)組織都很重要，無(wú)論行業(yè)和規(guī)模如何？

在網(wǎng)絡(luò)安全中，暴露是指組織 IT 環(huán)境中存在的漏洞、錯(cuò)誤配置或安全漏洞，任何威脅行為者都可能利用這些漏洞。例如，軟件漏洞、弱加密、錯(cuò)誤配置的安全控制、不充分的訪問(wèn)控制和未修補(bǔ)的資產(chǎn)。將這些暴露視為您盔甲上的漏洞 - 如果不加以緩解，它們將為攻擊者提供滲透您系統(tǒng)的入口點(diǎn)。

暴露驗(yàn)證運(yùn)行持續(xù)測(cè)試，以查看發(fā)現(xiàn)的漏洞是否確實(shí)可以被利用，并幫助安全團(tuán)隊(duì)優(yōu)先考慮最關(guān)鍵的風(fēng)險(xiǎn)。并非所有漏洞都是一樣的，許多漏洞可以通過(guò)現(xiàn)有的控制措施來(lái)緩解，或者在您的環(huán)境中可能無(wú)法利用。假設(shè)一個(gè)組織在其 Web 應(yīng)用程序之一中發(fā)現(xiàn)了一個(gè)嚴(yán)重的 SQLi 漏洞。安全團(tuán)隊(duì)嘗試在模擬攻擊場(chǎng)景——暴露驗(yàn)證中利用此漏洞。他們發(fā)現(xiàn)攻擊中的所有攻擊變體都被現(xiàn)有的安全控制（例如 Web 應(yīng)用程序防火墻（WAF））有效阻止。這種洞察力使團(tuán)隊(duì)能夠優(yōu)先考慮當(dāng)前防御措施無(wú)法緩解的其他漏洞。

盡管 CVSS 和 EPSS 分?jǐn)?shù)給出了基于分?jǐn)?shù)的理論風(fēng)險(xiǎn)，但它并不能反映現(xiàn)實(shí)世界的可利用性。暴露驗(yàn)證通過(guò)模擬實(shí)際攻擊場(chǎng)景來(lái)彌合這一鴻溝，并將原始漏洞數(shù)據(jù)轉(zhuǎn)化為可操作的見(jiàn)解，同時(shí)確保團(tuán)隊(duì)在最重要的地方投入精力。

對(duì)抗性暴露驗(yàn)證通過(guò)模擬攻擊和安全控制測(cè)試提供了重要的背景。

例如，一家金融服務(wù)公司在其網(wǎng)絡(luò)中發(fā)現(xiàn)了 1,000 個(gè)漏洞。如果這些沒(méi)有得到驗(yàn)證，優(yōu)先修復(fù)將是令人畏懼的。然而，通過(guò)使用攻擊模擬，可以肯定的是，90% 的漏洞可以通過(guò) NGFW、IPS 和 EDR 等當(dāng)前有效的控制措施來(lái)緩解。其余 100 個(gè)結(jié)果可立即被利用，并對(duì)客戶數(shù)據(jù)庫(kù)等關(guān)鍵資產(chǎn)構(gòu)成高風(fēng)險(xiǎn)。

因此，組織可以集中資源和時(shí)間來(lái)修復(fù)這 100 個(gè)高風(fēng)險(xiǎn)漏洞，并顯著提高安全性。

在當(dāng)今復(fù)雜的 IT 環(huán)境中，手動(dòng)驗(yàn)證已不再可行，而這正是自動(dòng)化變得至關(guān)重要的地方。

為什么自動(dòng)化對(duì)于曝光驗(yàn)證至關(guān)重要？

盡管有這些優(yōu)勢(shì)，但許多組織可能對(duì)建立暴露驗(yàn)證猶豫不決。讓我們解決一些常見(jiàn)問(wèn)題：

當(dāng)在持續(xù)威脅暴露管理 (CTEM)計(jì)劃中完成集成暴露驗(yàn)證時(shí)，可以獲得最大的投資回報(bào)。

CTEM 包括五個(gè)關(guān)鍵階段：范圍界定、發(fā)現(xiàn)、優(yōu)先級(jí)劃分、驗(yàn)證和動(dòng)員。每個(gè)階段都起著至關(guān)重要的作用；然而，驗(yàn)證階段尤為重要，因?yàn)樗鼘⒗碚擄L(fēng)險(xiǎn)與實(shí)際的、可操作的威脅區(qū)分開(kāi)來(lái)。這在 2024 年 Gartner? 管理威脅暴露戰(zhàn)略路線圖中得到了呼應(yīng)：最初看似“難以管理的大問(wèn)題”將很快成為未經(jīng)驗(yàn)證的“不可能完成的任務(wù)”。

暴露驗(yàn)證就像福爾摩斯的演繹法——它可以幫助你消除不可能的事情并專注于關(guān)鍵的事情。甚至斯波克先生也贊同這一邏輯，他說(shuō)：“我的祖先堅(jiān)持認(rèn)為，如果你消除了不可能的事情，那么剩下的無(wú)論多么不可能，都一定是事實(shí)?！蓖ㄟ^(guò)驗(yàn)證哪些暴露是可利用的以及哪些可以通過(guò)現(xiàn)有控制措施緩解，組織可以優(yōu)先考慮修復(fù)并有效地加強(qiáng)其安全態(tài)勢(shì)。