- 本文共计 1972 个字,预计阅读时间 6 分钟 -
子曾曰:看不见的东西,企业保护不了。现实的情况是,看得见的东西,企业也不一定能保护好。
曾几何时,传闻某企业做了一款防火墙产品,并表示此款防火墙是业内“最好的盾牌”,绝对能够保护企业的安全。要是谁能攻破该防火墙,其愿意给这位老铁一个双击666。没想到的是,天底下真有强手好汉,最终攻入该企业内部。不过这位好汉没有直接进攻防火墙,而是先拿下了企业运维人员的电脑,再通过运维人员权限达成入侵目标,成功绕过了防火墙。
故事很短,但对每一个企业来说都很有意义:企业想要做好网络安全,一定要进行资产暴露面管理。原因在于,网络安全同样遵循“木桶原理”,最薄弱的位置决定了企业的安全牢固程度。不做好资产暴露面管理,约等于在攻防对抗中直接缴械投降。
不过,这次我们不说如何进行资产暴露面管理,而是聊聊很多企业存在的资产管理误区。这里我们梳理出了四个典型误区,来看看你信过几个:
很多企业误以为资产暴露面管理就是 CMDB,或者运维人员的资产台账,只是来做资产的管理与罗列。这种认知不在少数,但与资产暴露面管理的本质相比,确实存在偏差。CMDB(Configuration Management Database,配置管理数据库)专注于资产配置类信息,的确能够提供设备类、IP 类、MAC 类及软件版本等丰富的信息,但整体仍偏于信息管理。
而资产暴露面管理的本质,其实是企业的攻击面管理。企业对资产暴露面进行梳理,可以知道有哪些暴露的资产口子,可能会被利用。对于攻击者而言,这些暴露面就是可进攻的入口。企业了解到可能被攻击的资产入口后,如果缩小资产暴露面,就是在缩小攻击范围,减少被攻击的可能。
不能否认的是,端口、域名管理是有固定标准的。例如,企业对外的端口,只能开放 80 端口或者 443 端口;管理端口、数据端口是不能对外开放的,如果涉及到业务需要,必须通过其他方式,如加白进行访问;再比如,某台电脑想要连接一家公司的内网,可能需要下载杀毒软件、开启某防火墙,再进行关联、登录 WIFI 认证等,满足条件后才能进行上网,这就是固定的标准。
这些标准,能够保证企业达到最基本的安全要求,但无法为企业资产提供一个绝对安全的网络环境。网络资产的相对安全,是依赖于企业的资产规模、企业对安全的要求与标准、以及外部威胁因素的技术水平等多种复杂的条件。也就是说,没有绝对的网络安全,但一定有更高的安全标准。
长期以来企业更多是基于“知己”的视角保护网络安全,做内部风险防范与管理。在谈到资产暴露面管理时,很多企业都是对企业的内部资产在进行管理,从企业内部进行探测。随着网络安全威胁复杂化,资产内涵的延展,企业资产暴露面管理已不局限于硬件基础信息、软件、业务、端口、内部账号等内部信息,还需要关注暗网交易数据、用户信息泄露、代码仓库等外部潜在的企业资产,才能尽量避免各种经济损失或名誉损失。
对于外部资产暴露面的管理,大多数企业还是依靠人工录入等传统方式进行,风险检测效率与覆盖率远远不够,很难真正发现外部的威胁。更高效、安全的办法,是可以通过最新的专业外部威胁感知产品来完成。例如,借助微步在线的外部威胁与风险监控平台,从外部视角、黑产视角、监管视角,全面发现企业暴露在互联网的影子资产、数据泄露等不同资产风险,快速锁定外部敏感资产。
传统资产管理,多半采用静态方式对资产进行清点管理,使得很多企业都持有一种观点:资产暴露面管理应该是静态的,如果出现问题,事后进行资产风险盘点即可,很少没有主动发现的意识与理念,安全人员始终在充当企业消防员的角色。
其实大可不必如此。资产暴露面梳理,需要核心关注的,除了“全面”,还有就是“及时”。如果业务部门新上的服务或业务,没有及时通知到企业的 IT 运维或者安全部门,都可能成为企业新的攻击点,威胁到企业安全。所以,最好的资产暴露面管理,应该是主动发现与告知,并且可以通过产品来实现。例如,微步在线的 TDP 威胁感知平台,不仅能够全面发现 IP、域名等资产风险,还可主动掌握新开的服务或者端口,及时告知企业安全人员。(关于 TDP 风险管理,可以看看这篇:《数据安全法》正式公布!企业如何保护敏感数据?)
安全资产管理,是每个企业安全人员面对的一道必答题。对于安全人员来说,在进行暴露面管理之前,企业需要先有一个正确的认识,才能确保行驶在正确有效的航道之上:资产暴露面管理不是 CMDB,它没有绝对的标准,但需要全方位、主动去梳理企业拥有的资产,尽可能提高资产的可见性,降低资产的风险性,企业才能更安全。
资产暴露面管理,相信不少企业有过“血泪教训”,多分支机构的大公司更甚,各地业务新开服务和端口总是“先上线,后/不通知”,IT 运维&安全人员身心劳累,还担心公司是否有资产在互联网上“裸奔”……
如果你的企业也遇到这方面的问题,欢迎长按下方二维码了解联系我们,给你一份专业的资产暴露面管理解决方案。
长按识别二维码
咨询资产暴露面管理解决方案
如果不想错过新的内容推送,可以设为星标 ![10年资深安全工程师告诉你,资产暴露面管理要注意的4个误区]( "10年资深安全工程师告诉你,资产暴露面管理要注意的4个误区")
哦
本文始发于微信公众号(安全威胁情报):10年资深安全工程师告诉你,资产暴露面管理要注意的4个误区
哦
评论