什么是攻击面管理? |
您所在的位置:网站首页 › asm哪家公司 › 什么是攻击面管理? |
|
ASM 由四个核心流程组成:资产发现、分类和优先级排序、修复以及监控。 同样,由于数字攻击面的规模和形态不断变化,这些过程是持续进行的,ASM 解决方案会尽可能地自动执行这些流程。 其目标是确保安全团队始终拥有漏洞资产的完整且最新的清单,并更快地应对给组织带来最大风险的漏洞和威胁。 资产发现 资产发现可自动持续扫描并识别面向互联网的硬件、软件和云资产,这些资产可能会被黑客或网络犯罪分子用作攻击组织的切入点。 这些资产包括 已知资产 - 组织了解并积极管理的所有 IT 基础架构和资源,包括路由器、服务器、公司发行或私有的设备(PC、笔记本电脑、移动设备)、IoT 设备、用户目录、本地和云端部署的应用程序、网站和专有数据库。 未知资产 - 在 IT 或安全团队不知情的情况下使用网络资源且“不在库”的资产。 影子 IT,即在没有官方管理批准和/或监督的情况下部署在网络上的硬件或软件,是最常见的一种未知资产。 下载到用户计算机的免费字体、通过组织网络使用的个人网站或云应用程序,以及用于访问企业信息的非托管个人移动设备等都属于影子 IT。 孤立 IT,即尚未正确停用的不再使用的旧软件、网站和设备,是另一种常见的未知资产。 第三方或供应商资产 - 纳入组织 IT 基础架构或数字供应链但非组织所有的资产。 这些包括软件即服务 (SaaS) 应用程序、API、公有云或组织网站中使用的第三方服务。 附属资产 - 属于组织子公司网络的任何已知、未知或第三方资产。 合并或收购后,这些资产可能不会立即引起上级组织的 IT 和安全团队的注意。 恶意或流氓资产 - 威胁行为者为目标公司创建或从中窃取的资产。 这可能包括冒充公司品牌的网络钓鱼网站,或者数据泄露后在暗网上共享的被盗敏感数据。分类、分析和优先级排序 一旦识别出资产,就会对其进行分类和漏洞分析,并按“可攻击性”进行优先级排序,可攻击性本质上是衡量黑客对它们发起攻击的可能性的客观指标。 资产按照身份、IP 地址、所有权以及与 IT 基础架构中其他资产的关系入库。 根据出现漏洞的可能性、原因(例如,配置错误、编码错误、缺少补丁)以及黑客可能通过这些漏洞发起的攻击类型(例如,窃取敏感数据,传播勒索软件或其他恶意软件),对它们进行分析。 接下来,按照优先级修复漏洞。 确定优先级是一项风险评估工作。通常情况下,会根据以下方面对每个漏洞进行安全评级或风险评分; 分类和分析期间收集的信息; 来自威胁情报源(专有和开源)、安全评级服务、暗网和其他来源的数据,涉及黑客对漏洞的可见性、漏洞利用难易程度以及漏洞的利用方式等; 组织自身的漏洞管理和安全风险评估活动的结果。 其中包含“红队测试”这类活动,它本质上是从黑客的角度进行渗透测试(通常由内部或第三方道德黑客执行)。 红队成员不会测试已知或可疑的漏洞,而是测试黑客可能利用的所有资产。修复 通常按优先级顺序修复漏洞。 这包括: 对相关资产应用适当的安全控制措施 - 例如,应用软件或操作系统补丁,调试应用程序代码,实施增强的数据加密 控制以前未知的资产 - 为以前不受管理的 IT 设置安全标准,安全地淘汰孤立 IT,消除流氓资产,将子公司资产集成到组织的网络安全战略、策略和工作流程中。修复还包括实施更广泛的跨资产措施来修复漏洞,例如实施最小特权访问策略或多因子认证 (MFA)。 监控 由于每次部署新资产或以新方式部署现有资产时,组织中攻击面的安全风险都会发生变化,因此要持续监视和扫描在库的网络资产和网络本身以发现漏洞。 持续监控使 ASM 能够实时检测和评估新的漏洞和攻击媒介,并提醒安全团队注意需要立即关注的任何新漏洞。 |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |