它的可见性需要业务风险上下文

拥有一个完整的,不断更新,详细了解所有IT资产的安全团队的圣杯。要实现这一目标,我们必须首先理解“能见度”真正需要什么,它不仅仅是如何确定的,知道这必须解决的挑战。

如果我们看任何信息安全框架的起点或最佳实践在过去的20年,我们会发现初始阶段是“发现”或“确定”或“理解”或一些变化。总的来说,他们都是说什么是我们不能保护我们不知道。或更直言不讳地说,我们不能开始做出好的决策,如何保护我们的环境,如果我们不知道我们所拥有的。有广泛的了解到资产是我们整体的一部分基础设施是关键,任何成功的安全计划的基本块。

尽管如此被广泛接受和承认,大多数安全从业人员会告诉你,去完整的可见性状态仍然是痛苦的困难。安全团队实现一个广泛的工具,花大量的时间整合数据集从资产管理系统和其他潜在来源的真理,然而,很少有人会说,他们相信他们真正理解他们的环境。这是为什么呢?在大多数情况下,这可以归结为两个关键问题没有得到解决当组织试图理解他们的环境:

• 你正在寻找和确定你所有的资产,还是你觉得你知道的?
• 你了解的背景下,涉及到安全资产,因为它发现,风险和影响你的组织吗?

首先,达到总可见性意味着识别和评估在您的环境中所有的技术资产,而不仅仅是“容易”的大多数IT熟悉和安全团队。而从服务器、工作站、网络基础设施设备和其他传统IT设备是一个很好的实践,这是一个非常常见的情况,其他资产被忽视或完全错过了。还有什么?问问你自己,如果你的团队确认以下资产:

• 数据库
• Web应用程序
• OT / ic / SCADA /工业物联网设备
• 云基础设施
• 虚拟化平台
• 容器
• 云编排服务
• 基础设施代码(IaC)配置
• Active Directory /凭证/组
• 面向公众的主机/主机名/记录

这个清单可以一直列下去。虽然被视为过于很难识别这些资产,他们仍然至关重要的大多数企业,容易受到网络攻击,如果泄露,将会影响组织的财务和声誉的幸福。如果安全团队是一个有意义的第一步更好的可见性和有一个更完整的理解我们的环境,那么我们必须把我们的手臂周围所有这些资产以及更传统的我们都熟悉。

因为这一原因,站得住脚的不断扩大我们平台上可用的工具能够安全、正确识别这些资产和拉回到一个地方数据。识别漏洞和其他安全风险开始能够识别和理解的目标。水平能见度,组织更好地理解最大的风险是在他们的环境中,并开始采取必要的措施来降低风险最重要的。

现在,一些组织可能有进展,他们变得很擅长收集资产库存数据和有一个好的理解的环境是什么样子的。但是,这是另一个地方开始瓦解。有很多不同的数据,通常是分散在几个不同的存储库,意味着安全团队必须做大量的转换不仅得到更好的分析的信息一起到一个地方,但他们也需要找出正常化他们所收集的信息的方法。毕竟,并不是每一个资产有一个IP地址或主机名。代码存储库不会有相同的标识符作为一个容器实例。Web应用程序可能被域名或URL,但一个工业可编程逻辑控制器(PLC)甚至不被附加到一个已知的网络。

而且不只是基础资产标识符多变和复杂。任何类型的漏洞或安全发现是不同的,不同的,这取决于资产本身。服务器可能有一个容易辨认的数量分配CVE漏洞,但IaC错误配置不会有任何标准标识符。Web应用程序SQL注入和跨站点脚本漏洞比特定的技术,不断识别操作系统漏洞。在Active Directory的世界,潜在的安全问题源于妥协如何广告在整个企业范围内功能和验证凭证,不固定的东西通过应用一个缺失的补丁。

如果你的安全团队一直肩负着试图了解环境中的风险和作出决策,以及如何减轻第一,你甚至开始当你没有看待事物在一个方便的方法?在现实中,这种类型的不同数据甚至不是“橘子”,事实上,更像“apples-to-starships-to-penguins-to-adjectives”。理解资产背后的背景和他们的安全研究是关键。我们首先必须齐心协力所有这些信息和规范化的方式有一个一致的和可衡量的方式来理解业务所带来的风险,这些发现。然后我们可以开始相关的各种风险因素对彼此和我们可以做出最好的决定对组织是最危险的地方,它提供了多大的风险,我们需要做些什么来缓解它。收集数据已经够困难了,但即使你管理这部分,你不会走太远,如果你不能专注于真正重要的东西。你会留下大量的电子表格和数据库管理,同时询问同样的问题开始的地方。

想要更多的指导你的安全战略呢?看看站得住脚的景观回顾2021年的威胁,它提供了一个综合分析去年的威胁环境,安全专家可以使用它来提高他们的安全,并查看网络研讨会“风险管理现代攻击表面:识别和沟通在您的环境中什么是最危险的和至关重要的先解决。”