Các Nền tảng Đánh giá Mức độ Phơi nhiễm Báo hiệu Sự Thay đổi Trọng tâm

Gartner® không dễ dàng tạo ra các danh mục mới. Nói chung, một thuật ngữ viết tắt mới chỉ xuất hiện khi "danh sách việc cần làm" chung của ngành đã trở nên bất khả thi về mặt toán học. Và dường như việc giới thiệu danh mục Exposure Assessment Platforms (EAP) là một sự thừa nhận chính thức rằng Vulnerability Management (VM) truyền thống không còn là một cách khả thi để bảo mật một doanh nghiệp hiện đại.

Sự chuyển đổi từ Market Guide for Vulnerability Assessment truyền thống sang Magic Quadrant for EAPs mới đại diện cho một sự dịch chuyển khỏi "vulnerability hose" – tức là luồng CVEs bất tận – và hướng tới mô hình Continuous Threat Exposure Management (CTEM). Đối với chúng tôi, đây không chỉ là một sự thay đổi về thuật ngữ; đó là một nỗ lực để giải quyết nghịch lý "Dead End" đã ám ảnh các đội ngũ bảo mật trong một thập kỷ.

Trong báo cáo Magic Quadrant đầu tiên của danh mục này, Gartner đã đánh giá 20 nhà cung cấp về khả năng hỗ trợ khám phá liên tục, ưu tiên dựa trên rủi ro và khả năng hiển thị tích hợp trên các lớp cloud, on-prem và identity. Trong bài viết này, chúng tôi sẽ đi sâu vào các phát hiện chính của báo cáo, các động lực đằng sau danh mục mới, các tính năng xác định nó và những gì chúng tôi xem là các bài học cho các đội ngũ bảo mật.

Tại sao đánh giá mức độ phơi nhiễm lại trở nên quan trọng

Các công cụ bảo mật luôn hứa hẹn giảm thiểu rủi ro, nhưng phần lớn chúng chỉ mang lại sự nhiễu loạn. Một sản phẩm sẽ tiết lộ một misconfiguration. Một sản phẩm khác sẽ ghi lại một privilege drift. Sản phẩm thứ ba sẽ gắn cờ các external-facing assets dễ bị tấn công. Kết quả là một cuộc khủng hoảng về số lượng đã dẫn đến tình trạng alert fatigue mãn tính trong SOC. Mỗi công cụ cung cấp một mảnh ghép, nhưng không công cụ nào có thể ghép tất cả các mảnh lại với nhau và giải thích cách exposure hình thành... hoặc cần khắc phục điều gì trước tiên để tránh nó.

Sự hoài nghi đối với các công cụ VM cũ là hoàn toàn có cơ sở. Dữ liệu từ hơn 15.000 môi trường cho thấy 74% các exposures được xác định là "dead ends", tồn tại trên các assets không có đường dẫn khả thi đến một critical system. Theo mô hình cũ, một đội ngũ bảo mật có thể dành 90% nỗ lực khắc phục của mình để sửa chữa những "dead ends" này, nhưng thực tế không giảm thiểu rủi ro cho các quy trình kinh doanh.

Đây là điều mà EAPs được thiết kế để giải quyết. Chúng tập hợp tất cả các mảnh ghép đó vào một chế độ xem hợp nhất theo dõi cách các hệ thống, identities và vulnerabilities tương tác trong môi trường thực và chỉ ra cách một kẻ tấn công thực sự có thể sử dụng chúng để di chuyển từ môi trường dev rủi ro thấp sang critical assets.

Mô hình này đang ngày càng phổ biến vì nó phản ánh cách thức kẻ tấn công hoạt động. Threat actors không giới hạn bản thân trong một flaw duy nhất. Chúng khai thác các weak controls, misaligned privileges và blind spots trong detection. Mô hình EAP theo dõi cách các exposures tích lũy trong các môi trường và dẫn kẻ tấn công đến các reachable assets. Các nền tảng trong danh mục này được xây dựng để chỉ ra rủi ro bắt nguồn từ đâu, cách nó lan rộng và điều kiện nào hỗ trợ attacker movement.

Gartner dự đoán rằng các tổ chức sử dụng phương pháp này sẽ giảm 30% thời gian ngừng hoạt động ngoài kế hoạch vào năm 2027. Kết quả ấn tượng như vậy dựa trên một sự thay đổi cũng ấn tượng không kém trong cách exposure được định nghĩa, mô hình hóa và vận hành trên các môi trường. Sự dịch chuyển này chạm đến mọi lớp của quy trình bảo mật - từ cách các tín hiệu được kết nối đến cách các đội ngũ quyết định khắc phục điều gì trước tiên.

Đi sâu: Từ danh sách tĩnh đến Exposure trong chuyển động

Sự thay đổi trong quy trình làm việc bắt đầu bằng cách EAPs phát hiện và kết nối các điều kiện dẫn đến rủi ro. Các nền tảng đánh giá mức độ phơi nhiễm có một cách tiếp cận khác so với các công cụ vulnerability truyền thống. Chúng được xây dựng xoay quanh một bộ khả năng riêng biệt:

• Chúng hợp nhất quá trình khám phá trên các môi trường. EAPs liên tục quét các internal networks, cloud workloads và user-facing systems để xác định cả assets đã biết và chưa được theo dõi, cùng với unmanaged identities, misconfigured roles và legacy systems có thể không xuất hiện trong standard inventories.
• Chúng ưu tiên dựa trên ngữ cảnh, không chỉ mức độ nghiêm trọng. Exposure được xếp hạng bằng nhiều tham số - asset importance, access paths, exploitability và control coverage. Điều này cho phép các đội ngũ xem xét những vấn đề nào có thể tiếp cận được, những vấn đề nào bị cô lập và những vấn đề nào cho phép lateral movement.
• Chúng tích hợp dữ liệu exposure vào các operational workflows. Đầu ra của EAP được thiết kế để hỗ trợ hành động. Các nền tảng kết nối với các công cụ IT và bảo mật để các phát hiện có thể được gán, theo dõi và giải quyết thông qua các hệ thống hiện có - mà không cần chờ đợi một quarterly audit hoặc manual review.
• Chúng hỗ trợ lifecycle tracking. Sau khi exposures được xác định, EAPs giám sát chúng qua các bước remediation, configuration changes và policy updates. Khả năng hiển thị đó giúp các đội ngũ hiểu điều gì đã được khắc phục, điều gì còn lại và cách mỗi điều chỉnh ảnh hưởng đến risk posture như thế nào.

Những gì Magic Quadrant tiết lộ về sự trưởng thành của thị trường

Magic Quadrant mới làm nổi bật sự phân chia trong thị trường. Một mặt, bạn có các incumbent cũ đang cố gắng "bolt on" các tính năng exposure vào các scanning engines hiện có của họ. Mặt khác, bạn có các native Exposure Management players đã mô hình hóa hành vi kẻ tấn công trong nhiều năm.

Sự trưởng thành của danh mục được chứng minh bằng một sự thay đổi trong "definition of done." Thành công không còn được đo bằng số lượng vulnerabilities đã được patched, mà bằng số lượng critical attack paths đã bị loại bỏ. Các nền tảng như XM Cyber, được xây dựng trên attack graph-based modeling, hiện đang dẫn đầu phương pháp này.

Những điều đội ngũ bảo mật nên theo dõi

Exposure assessment hiện đứng vững như một danh mục riêng, với các khả năng xác định, tiêu chí đánh giá và vai trò ngày càng tăng trong các enterprise workflows. Các nền tảng trong Magic Quadrant đang xác định các connected exposures, lập bản đồ những assets nào có thể được tiếp cận và hướng dẫn remediation dựa trên attacker movement.

Đối với người thực hành, giá trị tức thì là hiệu quả. Các nền tảng này đang đưa ra các quyết định về việc khắc phục điều gì trước tiên, cách giao quyền sở hữu và nơi giảm thiểu rủi ro sẽ có tác động lớn nhất. Exposure assessment hiện được định vị là một lớp cốt lõi trong cách các môi trường được bảo mật, duy trì và hiểu. Nếu bạn có thể chứng minh một cách toán học rằng 74% các alerts của bạn có thể được bỏ qua một cách an toàn, bạn không chỉ "cải thiện bảo mật" – bạn đang trả lại thời gian và tài nguyên cho một đội ngũ có khả năng đã đến giới hạn. Danh mục EAP cuối cùng đang điều chỉnh các security metrics với business reality. Câu hỏi không còn là "Chúng ta có bao nhiêu vulnerabilities?" mà là "Chúng ta có an toàn trước các attack paths quan trọng không?"

Để tìm hiểu thêm lý do XM Cyber được vinh danh là một challenger trong Magic Quadrant 2025 cho các nền tảng đánh giá mức độ phơi nhiễm, hãy lấy bản sao báo cáo của bạn tại đây.

Lưu ý: Bài viết này được viết và đóng góp bởi Maya Malevich, Head of Product Marketing tại XM Cyber.