Gartner发布ASCA自动化安全控制评估创新洞察：三年后40%的综合安全厂商都将提供ASCA功能

复杂的安全控制网络、技能差距和快速变化的攻击技术使维持技术安全控制的最佳配置的问题更加复杂。安全和风险管理领导者可以通过自动化安全控制评估来改善他们的安全状况。

主要发现

• 技术安全控制配置错误是与安全漏洞相关的长期问题。薄弱的安全默认值、配置漂移、为减少误报而进行的调整以及不断发展的攻击技术导致技术安全控制部署不理想。

• 自动安全控制评估 ( ASCA) 技术不仅适用于拥有数百万美元预算的成熟安全团队。它们也适用于各种组织，以帮助解决技术安全控制配置错误和管理不善的风险。

• 尽管采用 ASCA 技术是有益的，但完全自动化补救措施可能会存在问题。过度依赖安全配置更改的自动化通常会导致误报风险增加。

建议

• 寻求支持威胁暴露和安全配置管理流程的 ASCA 产品，以帮助自动化技术安全控制评估并克服技能短缺、资源限制和快速变化的攻击技术。

• 在大量投资 ASCA 技术之前，通过运行试点部署来管理成本。从小规模开始，随着时间的推移扩大部署，以尽早受益。在投资独立的 ASCA 技术之前，先调查现有安全技术和服务提供商的产品。

• 在自动化成熟和准确性提高之前，不要优先考虑全面自动化安全配置更改。仅针对最明显和最不显眼的问题批准对 ASCA 建议的自动反应。

战略规划假设

• 到 2027 年，40% 的广泛投资组合安全提供商将包含 ASCA 功能，而目前这一比例还不到 5% 。

• 到 2028 年，对减少威胁暴露技术的投资增长速度将是检测和应对事件技术投资的两倍。

• 到2029 年，超过 60% 的安全事件将归因于配置错误的技术安全控制。

介绍

技术安全控制配置错误是与安全漏洞相关的一个长期问题。尽管部署了各种安全技术，但组织往往缺乏有效管理这些工具的技能和资源。复杂的安全基础设施和缺乏跨职能人才加剧了这一问题，各个团队成员被分配了孤立的、特定于工具的职责。

许多组织会定期根据供应商的最佳实践进行安全配置审查。然而，这些审查往往无法说明组织所面临的具体威胁情况。

此外，以下因素使得在没有自动化的情况下维持技术安全控制的最佳配置变得不可能：

• 安全配置漂移

• 不断扩大的攻击面

• 新发现的漏洞及其利用方法

• 不断演变的攻击技术

安全团队可以通过建立流程和投资技术来持续评估技术安全控制，从而优化其组织的安全态势。将这些流程和技术与各种暴露数据（包括攻击面上下文、漏洞、攻击模拟和与业务相关的威胁情报）配对，可以实现评估自动化。图 1概述了ASCA 技术的核心功能。

图 1：自动化安全控制评估

描述

定义

自动安全控制评估 (ASCA)是一种安全技术，它不断分析、确定优先级并优化技术安全控制，以减少组织的威胁暴露。ASCA可识别安全控制中的配置偏差、策略和控制缺陷、检测逻辑漏洞、不良默认值和其他错误配置。然后，它使用已识别的弱点来推荐和确定补救措施的优先级，以提高针对特定于组织的威胁的安全性。

ASCA 技术可自动将组织的特定威胁状况与漏洞、攻击技术、业务环境和可用的防御能力进行映射。因此，它们可减少人工工作量，并根据对组织暴露情况的更现实的看法帮助确定发现的优先次序。ASCA并非简单地验证技术安全控制是否存在，而是根据最佳实践、基准和当前威胁状况帮助评估和优化控制配置。

持续评估技术安全控制以及相关的暴露评估和暴露验证技术对于持续威胁暴露管理 (CTEM)计划和安全配置管理 (SCM) 计划至关重要。但是，ASCA 技术并非专门针对具有成熟漏洞、暴露或安全配置管理计划的组织。即使您的组织刚刚起步，ASCA 也可以帮助评估技术安全控制是否按预期运行，如果没有，则建议进行更改。

例如，ASCA 技术可以提供数据和指导，帮助更准确地分析和确定风险的优先级，并协助调动技术安全控制。具体来说，ASCA 有助于 CTEM 的以下三个阶段：

• 发现：我发现技术安全控制的错误配置，并将其与来自综合暴露评估源的资产、漏洞和暴露数据相关联。

• 优先级排序：将控制环境与来自相邻暴露评估工具的资产、漏洞和暴露环境相叠加，以有效地对暴露进行优先排序。

• 调动：为技术安全控制的实施提供具体的缓解指导。示例缓解措施包括配置更改、自定义检测规则和虚拟补丁。

然而，安全领导者应该警惕全自动补救措施的局限性。领导者可能会批准对最明显和最不显眼的问题采取全自动反应，以应对ASCA建议，但 Gartner 发现，目前很少有客户采用这种模式。在某些情况下，补救的责任可能超出安全团队的范围，或者修复可能会导致业务中断。如果没有完整的业务背景，安全工具几乎不可能始终如一地预测适合业务的补救类型。

安全主管还应了解，ASCA 工具主要侧重于被动、无代理的评估流程，以识别安全控制配置问题。因此，这些工具不适合盘点资产或识别资产漏洞和错误配置。相反，可以从以下工具中提取攻击面数据，例如有关设备、应用程序、漏洞、应用程序、社交媒体帐户、代码存储库和其他元素的信息：

• 外部攻击面管理 (EASM)

• 网络资产攻击面管理（CAASM）

• 脆弱性评估（VA）

ASCA 技术也无法直接帮助通过主动或模拟演习（如入侵和攻击模拟 ( BAS ) 等对抗性暴露验证解决方案）验证暴露。尽管 ASCA 和 BAS 有一些重叠的用例，但这些技术可以集成在一起以确定暴露的优先级并进行验证。

ASCA 技术不应与网络安全持续控制监控 (CCM) 工具相混淆，后者专注于自动监控安全和IT 控制，以帮助满足常见的合规性要求。

此外，ASCA 技术是对 Gartner网络安全控制评估的补充，该评估提供了对人员、流程和技术控制的更广泛的视角（见注释 2）。

好处和用途

部署 ASCA 技术的组织可以获得许多好处。例如，他们可以：

• 提高员工效率，最大限度地减少人为错误的影响，并提高组织流失的抵御能力。

• 通过使用最新的安全功能进行更新，最大限度地提高现有技术安全控制（例如终端保护、身份、电子邮件安全、安全服务边缘、网络防火墙以及安全信息和事件管理 (SIEM) 系统）的价值。

• 通过自动将安全控制映射到常见的网络安全框架（如 MITRE ATT&CK）的过程，识别已部署的技术安全控制中的重叠和检测逻辑覆盖范围差距。

• 通过清晰阐明组织的安全态势、部署的技术安全控制状态以及进一步优化安全态势的路线图来降低网络安全保险费。

• 获取对已部署基础设施安全堆栈所产生的安全态势的可见性，并为主要威胁类型提供跨组织基准测试和安全控制评分。

• 通过发现安全控制错误配置、确定暴露优先级以及调动安全控制来提高威胁检测、预防和响应能力，促进采用 CTEM 等框架。

• 为网络安全计划绩效管理（CPPM；见注释3）提供已部署的技术安全控制的数据驱动输出。

风险

• ASCA 技术可自动评估技术安全控制配置，无需主动验证假设。因此，最终用户必须验证有关实际解决过程的发现和建议。

• 实施缓解指导的缓慢步伐，加上 ASCA 技术进行的持续评估，可能会导致建议堆积如山，而没有考虑到组织业务环境的适当分类流程。安全领导者可能已经不堪重负，而增加另一个发现来源可能更多的是阻碍而不是帮助。

• 广泛的产品组合安全提供商可能会继续构建 ASCA 功能作为其广泛技术产品的一部分，以帮助确保其供应商拥有的安全控制的最佳配置。

• 为了应对ASCA 工具发现的加速配置问题列表，需要在人员、流程和技术方面进行额外投资，并相应增加预算。

• ASCA 技术很少与专用预算相一致。这些工具通常是现有漏洞管理解决方案的额外支出，而在当前的经济环境下，获得额外预算来增加工具数量可能特别困难。

• ASCA 技术可能与内置生成式 AI (GenAI) 自我评估功能和工具重叠，这些功能和工具旨在在单个孤岛中实现类似的技术安全控制评估目标（例如，网络防火墙或云配置评估工具）。

• ASCA 提供商不太可能优先考虑与小众安全供应商或通用技术的集成。因此，对于拥有众多供应商且需要专门的安全解决方案来解决不常见的安全问题的大型复杂组织而言，ASCA 的价值可能较低。

采用率

Gartner 估计，不到 5% 的组织采用了 ASCA 技术来自动化评估和优化其基础设施安全堆栈中的技术安全控制过程。

一些组织依靠手动流程定期检查其安全控制配置是否符合供应商提供的最佳实践。很少有组织拥有成熟的流程，旨在利用威胁情报和相关漏洞、暴露和攻击面数据来优化技术安全控制。

建议

• 寻求支持威胁暴露和安全配置管理流程的 ASCA 产品。将 ASCA 与相邻的暴露评估平台和对抗性暴露验证技术集成，以更好地了解以下关系：

o   您的组织的特定威胁形势

o   弱点

o   攻击技术

o   商业背景

o   可用的防御能力

• 在大量投资 ASCA 技术之前，通过运行试点部署来管理成本。从小规模开始，随着时间的推移扩大部署，以尽早受益。在投资独立的 ASCA 技术之前，先调查现有安全技术和服务提供商的产品。

• 在自动化成熟和准确性提高之前，不要优先考虑全面自动化安全配置更改。仅针对最明显和最不显眼的问题批准对 ASCA 建议的自动反应。

• 评估评估能力的广度和深度、与组织特定的威胁形势和业务环境的一致性以及与相邻风险评估和验证工具的集成。您不必更改现有的安全基础设施来适应潜在的评估解决方案。

• 调查您计划或现有的安全服务提供商（例如托管检测和响应 [MDR] 提供商）是否正在或即将提供ASCA 功能作为其服务产品的一部分。托管服务可能会成为小型组织使用这项技术的主要方式。

• 将重点从孤立的漏洞管理转移到更广泛的威胁暴露管理目标上，同时考虑技术安全控制的存在和配置。将技术安全控制的背景与资产和威胁信息相结合，有助于确定暴露发现的优先次序，并有效地调动安全控制来解决这些问题。

• 建立流程并分配职责，以持续评估和管理技术安全控制配置。这些职责包括确定评估控制的优先级、评估控制、实施缓解措施和验证安全控制配置。

代表供应商

以下是提供ASCA功能的供应商的代表性（非详尽）列表：

• 纯 ASCA 供应商：

o   CardinalOps

o   Interpres Security

o   Nagomi Security

o   Reach Security

o   Tidal Cyber

o   Veriti

o   Zafran

• 拥有 ASCA 能力的广泛产品组合安全供应商：

o   微软

o   趋势科技