漏洞赏金前奏:全面掌握你的资产清单

本文详细探讨了资产清单在网络安全中的核心地位,涵盖了合规要求、资产分类、可见性挑战及管理工具,为企业建立有效的安全防护体系提供实用指导。

网络安全合规要求

由于最新的资产清单是风险管理、事件响应和漏洞扫描的基石,包括ISO27001、SOC2、NIS2、NIST和CIS在内的多个网络安全框架都强调了其重要性。

例如,网络与信息安全指令(NIS 2)是一个旨在提高整个欧盟网络安全和关键基础设施的法律框架。实现NIS2合规的第一步是展示所有IT资产的状态。这包括能够识别所有正在使用的硬件和软件,然后能够评估相关的风险级别。

ISO27001保证了对财务信息、知识产权、员工详细信息或第三方委托信息等资产的安全管理和保护。它还要求公司识别并记录其资产,识别相关风险,并采取措施保护所述资产。

SOC2(系统与组织控制)是一项合规标准,要求企业根据五个关键信任标准管理和保护敏感数据。这些标准是安全性、可用性、处理完整性、机密性和隐私性。在资产管理的背景下,SOC2强调维护准确的物理和数字资产清单,执行访问控制,确保系统可用性,保护敏感和个人数据,并管理完整的资产生命周期。

NIST网络安全框架将资产管理作为其"识别"部分的第一步。

“实现业务目标所需的数据、人员、设备、系统和设施应根据其对业务目标相对重要性和组织风险策略进行识别和管理” - NIST网络安全框架,识别

互联网安全中心(CIS)控制措施侧重于清点硬件和软件资产。控制措施1规定了企业资产的控制:

“主动管理(清点、跟踪和纠正)所有企业资产(终端用户设备,包括便携式和移动设备;网络设备;非计算/物联网设备;以及服务器)连接到基础设施的物理、虚拟、远程以及云环境中的资产,以准确了解需要在企业内监控和保护的全部资产。这也将支持识别未经授权和未管理的资产以进行移除或修复。” - 企业资产的清点与控制

而控制措施2规定了维护全面的软件资产清单:

“主动管理(清点、跟踪和纠正)网络上的所有软件(操作系统和应用程序),以便只安装和执行授权软件,并发现未经授权和未管理的软件并阻止其安装或执行。” - 软件资产的清点与控制

资产清单应包含的内容

一个合格的资产清单应包括公司域内的所有内容,包括硬件、软件、云资产、网络设备、域和子域。

硬件应包括移动设备、笔记本电脑、物联网设备和服务器等元素。软件应包括所有应用程序、许可证和固件。

许多模糊或不常用的元素可能会被遗漏。例如,打印机或由配电网络运营商连接到电力网络的充电桩可能会被遗漏。

对于云资产,请确保包括存储账户,以及无服务器功能、云、虚拟机和S3存储桶。

在网络设备列表中,分类所有交换机、路由器和防火墙。域和子域应包括所有活动域以及停放域和DNS记录。

另一个要提供的元素是影子IT,例如流氓设备、开发人员实例和非官方的SaaS工具。

“影子IT指的是在没有正式IT或安全批准的情况下创建的资产。这可能包括开发环境、流氓API和未注册的云实例。这些元素可以绕过库存控制,因此不包括在扫描或漏洞赏金范围内。” - 安全成熟度复杂性

可见性挑战

尽管拥有最新的资产列表的重要性显而易见,并且有许多关于应包含内容的指南可用,但这引出了一个问题:“为什么资产管理对大多数公司来说仍然是一个挑战?”

嗯,许多本地环境仍然依赖手动流程,而且通常是过时的CMDB。

“由于现代环境的动态性质,配置管理数据库变得越来越难以维护。需要考虑云实例和容器等元素。手动更新耗时,集成不良和工具缺乏可能导致不完整的条目。除此之外,缺乏方向以及随之而来的缺乏所有权,形成了一种责任不明确的责任文化。” - 安全成熟度复杂性

对于基于云的客户,挑战在于使用孤立的云解决方案,这些解决方案可能最终不会出现在中央资产管理列表中。

简化资产可见性的工具

没有一刀切的解决方案,但可以根据您的环境使用一系列工具来开始。

对于混合和以云为中心的环境,您可以使用诸如Asset Panda之类的工具,该工具可用于资产跟踪以及硬件和软件清单的报告。它带有移动支持、自定义工作流程和条形码扫描功能。

BlueTally可用于资产管理,并与其他平台(如Azure AD、Intune和JAMF)集成,可用于跟踪分配以及生命周期。

Microsoft Intune可用于管理终端安全性、清单和合规性,涵盖移动设备、操作系统和Windows机器。以及移动设备管理解决方案,如Intune和JAMF。

对于传统的本地服务,Active Directory可用于跟踪域加入的设备、用户和组,并提供策略实施。

ServiceNow IT资产管理是一个企业级资产和配置管理平台,具有流程自动化功能。

对于混合环境,诸如Lansweeper之类的工具可以提供无代理网络进行资产发现和清单管理。

而Snipe-IT是一个开源的IT资产管理系统,专为需要本地部署的中小型公司设计。

后续步骤

在跳到网络安全待办事项列表上的下一件事之前,暂停一下,问问自己、你的团队和你的公司:“我们知道我们拥有什么吗?”

如果答案不是100%的是,那么开始研究你的资产管理。这是真正网络安全的起点。准确的资产管理将是你建立安全成熟度的基础,也将是富有成果的漏洞赏金狩猎的基础。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次