安全卫生和态势管理可能是高优先级工作，但事实是，企业仍然在孤岛中随意处理安全卫生和态势管理，这无疑为网络攻击者打开了大门。

安全卫生和态势管理是网络安全的基石。但是，在考虑可接受的使用策略、安全意识培训或各种安全技术之前，企业必须充分了解他们拥有的资产、谁拥有它们、这些资产的用途以及它们是否安全配置。

每个标准机构和安全最佳实践（例如NIST-800系列、CIS关键安全控制和ISO 27001）以及每个安全法规（包括HIPAA、PCI DSS和FISMA）都以强大而持续的安全卫生和状态管理为起点。

安全卫生和态势管理就像是锁定和保持所有门窗完整性的做法，以保护你的房屋和家人免受入侵者的侵害。但是，如果你住在欧洲城堡里，有几十个家庭成员和成百上千个门窗的呢？整个城堡的不同工作人员负责维护和锁定指定数量门窗，而你的安全取决于所有这些人是否正确，这很难监控或验证。

新研究强调安全卫生复杂性

上面的示例总结了当今安全卫生和态势管理的状态：分布式、孤立且难以抵御攻击。 TechTarget Enterprise Strategy Group最近的研究说明了以下问题：

• 73% 的安全专业人员声称电子表格仍然是其企业安全卫生和状态管理的关键方面。当涉及电子表格时，安全和 IT 人员可能会花费数小时和数天来收集和规范化数据、重复数据删除和检查数据完整性，并最终建立静态资产清单。除了流程开销之外，这种资产库存方法只会创建一个快照，随着时间的推移，该快照变得越来越不准确。即使数据100%准确，IT 和安全团队仍必须分析数据，确定补救措施的优先级，然后跟踪风险缓解。
• 73%的安全专业人员表示，他们的企业对其总资产的80%有很强的意识。根据我的经验，80%似乎有点牵强，但让我们假设这是事实。这意味着20%的资产仍然无人管理，管理不善或完全未知。在这种情况下，你不知道的事情会伤害你。
• 68% 的安全专业人员表示，虽然他们的企业认识到安全卫生和状态管理的重要性，但很难决定采取最优先的风险缓解措施。首席信息安全官意识到他们需要全面的可见性，但更多的资产、配置和漏洞数据会产生分析瓶颈，这就提出一个问题：这些问题中哪一个最关键，应该优先进行补救？这就是为什么现在如此多的安全技术都是围绕机器学习、攻击路径映射和风险评分构建的原因之一。
• 56% 的安全专业人员表示，他们的企业发现很难确定哪些资产是业务关键型资产。我认为企业应该知道他们需要为哪些系统付费，但这也不是那么容易。关键业务系统可能会连接到第三方网站。开发和测试系统可能包括生产数据。单个普通应用程序服务可由多个面向客户的应用程序使用。云原生应用程序和 DevOps 通常每周多次将新代码推送到生产环境中，这使得事情变得更加困难。业务关键型系统可能由不同组拥有的数十个连接和不断变化的资产组成。这加剧了已经存在的复杂性。

50% 的安全专业人员表示，由于攻击面的增长和频繁变化，他们很难跟上安全卫生和状态管理的步伐。超过一半（62%）的组织表示，在过去两年中，由于第三方IT连接、不断增加的远程工作人员、公共云的使用增加以及数字化转型计划的推动，他们的攻击面有所增加。换句话说：资产越多，问题越多。

首席信息安全官试图大规模解决问题

首席信息安全官看到这些问题，并意识到事情正在失控。该研究还指出，企业正在采取以下步骤来解决大规模安全卫生和态势管理问题：

• 92% 的企业有兴趣研究用于安全卫生和态势管理的新兴技术。请考虑以下技术：
  • 由CyCognito、Detectify、Mandiant、Microsoft、Palo Alto Networks等提供的攻击面管理。
  • 由Axonius、Brinqa、Interpres Security、JupiterOne、Panaseer等提供的安全资产管理。
  • 由思科旗下公司Kenna Security、Qualys、Rapid7、Tenable等供应商提供的基于风险的漏洞管理。

无论类别如何，这些工具都旨在提供对盲点的可见性，汇总和分析孤立的数据，并就优先考虑哪些问题提供某种类型的基于风险的指导。从历史上看，安全卫生和态势管理技术几乎没有获得风险投资资金，但鉴于不断增长的攻击面和复杂的威胁，供应商开始重视。

• 83% 的企业主要或仅针对业务关键型资产优先考虑安全卫生和态势管理。在这种情况下，企业将安全控制和监视重点放在其最重要的资产上。但是当这些资产不断变化，并且一切都与一切相连时，这种方法是无效的。这种安全做法是一个很好的起点，但随后应该有更全面的安全卫生和态势管理。
• 81% 的企业使用 Mitre ATT&CK 框架来帮助确定安全卫生和态势管理优先级。在这种情况下，该框架提供了对手战术、技术和程序的地图。安全团队可以专注于最有可能针对他们的对手和活动，例如基于行业、地区和历史攻击模式的对手和活动。然后，团队可以锁定黑客在这些攻击中使用的资产，例如用于漏洞利用的特定常见漏洞和暴露，并运行渗透测试或红队来验证安全防御。来自AttackIQ、Cymulate、Randori和SafeBreach 等供应商的自动化测试工具通常用作此过程的一部分。

在我2003年加入企业战略集团后不久，我在一次安全会议上做了关于漏洞管理的演讲。我谈到最佳实践、分工和工具。在问答环节中，观众提出这些问题：“我们如何知道我们已经发现了所有资产？”和“我们如何确定要修补哪些漏洞的优先级？”

二十年后，我们的研究表明，我们还没有充分回答这些问题，而问题的规模却在呈指数级增长。我们的门窗很脆弱，当我们认为它们很坚固且已经上锁时，它们通常会被打开。如果没有安全卫生和态势管理基线，网络安全保护只不过是靠运气。