介紹如果想應(yīng)用有效的安全控制���,了解環(huán)境中擁有哪些資產(chǎn)至關(guān)重要�����。保護所了解的事物要容易得多����。 本指南解釋了資產(chǎn)管理對網(wǎng)絡(luò)安全的重要性����,并概述了實現(xiàn)良好網(wǎng)絡(luò)安全成果所需的屬性和實踐。 下面我們給出了資產(chǎn)的工作定義�,指出了一些有用的數(shù)據(jù)源,并詳細介紹了資產(chǎn)管理和網(wǎng)絡(luò)安全可以互惠互利的方式����。 資產(chǎn)管理挑戰(zhàn)即使在小型組織中,資產(chǎn)類型的多樣性及其龐大的數(shù)量也可能使資產(chǎn)管理成為一項具有挑戰(zhàn)性的任務(wù)����。硬件�����、軟件��、虛擬基礎(chǔ)設(shè)施、信息和在線帳戶都必須考慮在內(nèi)��。 這種努力是值得的���,因為資產(chǎn)管理可以幫助避免許多安全事件��。在需要的地方正確了解您的資產(chǎn)����,讓您有機會在事件發(fā)生之前采取補救措施�。
什么是資產(chǎn)?資產(chǎn)可以被認為是任何可以用來為您的組織創(chuàng)造價值的東西�����。 這包括知識產(chǎn)權(quán)或客戶數(shù)據(jù)等信息�����。它還包含多種類型的技術(shù),包括 IT 和OT����、硬件和軟件、物理位置和金融資本�。當(dāng)然,它還包括您的員工���、他們的知識和技能��。 從網(wǎng)絡(luò)安全的角度來看���,我們主要對兩種類型的資產(chǎn)感興趣: 必須配置或管理才能實現(xiàn)安全結(jié)果的資產(chǎn)。對于 IT 資產(chǎn)���,IT 服務(wù)管理標(biāo)準(zhǔn)(例如 ITIL 4 和 ISO 20000)將此類資產(chǎn)稱為配置項����。 可能因網(wǎng)絡(luò)事件而受到影響的資產(chǎn)�。這些通常是您想要保護的東西。
影子IT“影子 IT”也稱為灰色 IT�����,是指在組織內(nèi)出于業(yè)務(wù)目的而使用的 IT 資產(chǎn),但不作為資產(chǎn)和風(fēng)險管理流程的一部分����,或者不與企業(yè) IT 流程集成。 此類設(shè)備令人擔(dān)憂�����,因為它們不太可能與組織的安全或數(shù)據(jù)治理策略保持一致����,因此構(gòu)成未知風(fēng)險����。
資產(chǎn)管理的重要性資產(chǎn)管理并不是創(chuàng)建永遠不會被使用的列表或數(shù)據(jù)庫。良好的資產(chǎn)管理意味著創(chuàng)建�、建立和維護有關(guān)您資產(chǎn)的權(quán)威且準(zhǔn)確的信息,以便在您最需要時實現(xiàn)日常運營和高效決策�。 資產(chǎn)管理為網(wǎng)絡(luò)安全的大多數(shù)其他領(lǐng)域提供了基礎(chǔ): 風(fēng)險管理。了解和管理網(wǎng)絡(luò)風(fēng)險取決于資產(chǎn)的核算����。如果允許資產(chǎn)在雷達下溜走,那么是否缺少適當(dāng)?shù)陌踩刂拼胧┚筒粫黠@,從而導(dǎo)致無法管理的風(fēng)險�����。 管理遺產(chǎn)���。所有軟件和硬件最終都會過時�。超過該時間點繼續(xù)使用產(chǎn)品會增加風(fēng)險���,或者增加減輕這些風(fēng)險的成本����。資產(chǎn)管理可以幫助組織確定系統(tǒng)何時將停止支持并提前計劃����。我們的過時產(chǎn)品指南可以幫助進一步管理遺留資產(chǎn)。 身份和訪問管理���。為了實施有效的身份和訪問管理系統(tǒng)�����,必須能夠識別用戶和設(shè)備�。資產(chǎn)管理可以幫助確保所有用戶和設(shè)備都具有唯一的身份,還可以幫助識別需要應(yīng)用訪問控制的資源���。 漏洞和補丁管理���。對于網(wǎng)絡(luò)系統(tǒng)來說,最好的防御措施之一是確保它們不包含已知的漏洞��,因為這些漏洞很容易受到攻擊����。擁有有關(guān)硬件和軟件資產(chǎn)的準(zhǔn)確信息為確保應(yīng)用可用更新并了解在何處掃描漏洞奠定了基礎(chǔ)。能夠快速回答諸如“漏洞 X 會影響我們嗎��?”之類的問題也很有用�。每當(dāng)宣布高影響漏洞時��。 監(jiān)控���。有些威脅是無法預(yù)防的��,因此必須有能力檢測和調(diào)查潛在的威脅��,從而減輕任何威脅��。有效的監(jiān)控能力取決于能否訪問正確的數(shù)據(jù)�����。資產(chǎn)管理可以幫助您識別監(jiān)控能力可能需要的相關(guān)數(shù)據(jù)源和豐富信息�����。 事件管理�、響應(yīng)和恢復(fù)。了解資產(chǎn)并確定哪些資產(chǎn)對組織最重要�,有助于規(guī)劃、響應(yīng)事件并從事件中恢復(fù)�。通過確保不會遺漏任何重要信息并提供正確的信息,將能夠快速采取行動并最大程度地減少干擾���。 不僅僅是網(wǎng)絡(luò)安全�。大多數(shù)業(yè)務(wù)運營都依賴于資產(chǎn)管理的某些方面����。這包括 IT 運營、財務(wù)會計�、管理軟件許可證、采購和物流����。雖然它們可能并不都需要相同的信息���,但各自的需求之間會存在一些重疊和依賴關(guān)系。安全方面不應(yīng)被孤立地考慮或作為資產(chǎn)信息的主要消費者�����,因此在整個組織中集成和協(xié)調(diào)資產(chǎn)管理將有助于減少或管理這些功能之間的任何沖突��。
將資產(chǎn)管理集成到組織中資產(chǎn)管理實施起來具有挑戰(zhàn)性���,它涉及整個組織的一定程度的協(xié)調(diào)���。適當(dāng)?shù)馁Y產(chǎn)管理不僅僅涉及技術(shù)。采購等非技術(shù)職能也必須參與資產(chǎn)管理生命周期����。 考慮到這些復(fù)雜性���,獲得高級管理層的支持非常重要��。整個資產(chǎn)管理系統(tǒng)還必須有一個“所有者”�����。如果沒有所有者����,整個組織的協(xié)調(diào)將變得困難,資產(chǎn)也可能無法有效發(fā)揮作用����。 資產(chǎn)管理應(yīng)成為企業(yè)架構(gòu)或網(wǎng)絡(luò)安全流程的一部分,并定期向高級管理層提交資產(chǎn)管理流程的當(dāng)前狀態(tài)��。
良好的資產(chǎn)管理方法應(yīng)包含哪些內(nèi)容資產(chǎn)管理系統(tǒng)將具有許多可以從網(wǎng)絡(luò)安全角度增加價值的功能���。 您的環(huán)境可能已經(jīng)具備了利用部分或全部這些屬性的工具�����。但所有環(huán)境都不同����,因此您應(yīng)該評估每個功能的需求��。 下面的列表詳細介紹了設(shè)計資產(chǎn)管理系統(tǒng)時應(yīng)考慮的網(wǎng)絡(luò)安全注意事項�。該列表是無序的�����。 資產(chǎn)發(fā)現(xiàn)�����。使用工具定期或連續(xù)掃描環(huán)境以查找新的����、修改的或刪除的資產(chǎn)���。這有助于維護準(zhǔn)確的資產(chǎn)清單�,并可用于檢測對環(huán)境的未經(jīng)授權(quán)的更改���。 權(quán)威信息來源�����。保留每個人都同意反映環(huán)境的資產(chǎn)記錄���。考慮標(biāo)準(zhǔn)化和整合資產(chǎn)信息以避免重復(fù)并使其更易于訪問�。這確保了所有利益相關(guān)者都可以有效地使用收集到的信息���,并且不需要額外的工作來驗證。 準(zhǔn)確的信息來源����。應(yīng)定期收集資產(chǎn)信息,以確保其保持最新狀態(tài)���,并記錄“置信度”分數(shù)或“上次查看”時間戳���,以反映信息的陳舊或不確定程度。每周收集一次服務(wù)器信息可能比較合適�����,因為更改很少�,但可能需要每天收集一次桌面信息以進行配置統(tǒng)計或漏洞管理 資產(chǎn)信息的可用性。確保資產(chǎn)信息可訪問以支持組織中的相關(guān)用例��。配置管理數(shù)據(jù)庫 (CMDB) 可能是您的資產(chǎn)管理解決方案中的重要組成部分��,但這可能需要一系列工具的支持���,以促進整個組織中資產(chǎn)數(shù)據(jù)的收集��、處理�����、存儲和使用��。這確保了收集到的資產(chǎn)信息可以得到有效利用��。 人為因素�。資產(chǎn)管理流程應(yīng)滿足整個組織中用戶的需求,并考慮可用性和可訪問性等人為因素���。可能需要采取務(wù)實的方法來避免過度的官僚主義����。使用資產(chǎn)信息來簡化業(yè)務(wù)流程可能有助于激勵用戶充分參與資產(chǎn)管理流程�����。這有助于確保資產(chǎn)信息的準(zhǔn)確性不會因用戶尋找解決方法并訴諸影子 IT 而降低���。 自動化�。應(yīng)盡可能使用自動化機制來更新資產(chǎn)記錄。理想情況下��,工具應(yīng)該記錄資產(chǎn)信息以響應(yīng)環(huán)境的變化����,而不是在變化發(fā)生后才檢測�。應(yīng)鼓勵新項目從一開始就納入自動化資產(chǎn)管理,以避免系統(tǒng)開發(fā)時出現(xiàn)技術(shù)債務(wù)或隨著時間的推移而被放棄�。這有助于確保維護準(zhǔn)確的記錄,并且不太可能錯過或忘記更新��,同時還減少了所需的持續(xù)成本和工作量��。 完整性����。確保資產(chǎn)管理流程對所有資產(chǎn)進行核算。這應(yīng)包括物理���、虛擬和云資源�,以及您組織的互聯(lián)網(wǎng)存在��,以社交媒體帳戶��、域名注冊、IP 地址空間和數(shù)字證書的形式����。這有助于避免任何資產(chǎn)未配置適當(dāng)?shù)陌踩刂疲⑶沂呛弦?guī)性和漏洞掃描所必需的�����。 綜合可見性�。確定組織將如何使用資產(chǎn)信息,并確保收集有關(guān)資產(chǎn)的足夠詳細信息來支持這些用例����。例如,了解計算機上安裝的所有軟件的版本有助于識別更廣泛的漏洞���,而不僅僅是了解操作系統(tǒng)版本����。如果捕獲某些細節(jié)可能很困難或成本高昂�,請考慮是否可以降低捕獲頻率或追溯性捕獲這些細節(jié),同時采取其他緩解措施(例如網(wǎng)絡(luò)分離)��。這有助于確保資產(chǎn)數(shù)據(jù)能夠得到有效使用��,并且不會因收集間隙而變得無法使用。 變化檢測����。確保記錄資產(chǎn)信息的變化,并使用多個數(shù)據(jù)源來識別不一致的情況��。例如�,網(wǎng)絡(luò)上新發(fā)現(xiàn)的設(shè)備沒有相應(yīng)的設(shè)備管理注冊�����。這有助于識別對環(huán)境的未經(jīng)授權(quán)的更改�����,并有助于調(diào)查安全事件��。 保密�����。考慮所收集資產(chǎn)數(shù)據(jù)的敏感性����。應(yīng)用適當(dāng)?shù)谋Wo和訪問限制�����,同時確保支持相關(guān)用例���。例如,所有用戶都應(yīng)該能夠查找他們負責(zé)的資產(chǎn)�,但應(yīng)該防止任意批量查詢。考慮監(jiān)控對資產(chǎn)數(shù)據(jù)的訪問���,以查找可能的偵察跡象��。這確保了資產(chǎn)數(shù)據(jù)可以有效地用于一系列用例����,同時使?jié)撛诠粽吆茈y找到有用的信息����。 使用前先注冊。應(yīng)在首次使用之前或首次使用時收集資產(chǎn)信息���。這可以通過過程和檢測能力來強制執(zhí)行����。例如,僅應(yīng)為已注冊的資產(chǎn)頒發(fā)證書身份�,以防止未注冊的設(shè)備向其他系統(tǒng)進行身份驗證。通過使未注冊的資產(chǎn)難以進入并保留在您的環(huán)境中��,從而降低了創(chuàng)建影子 IT 的風(fēng)險���。 資產(chǎn)分類�����。考慮定義和使用類別來對資產(chǎn)進行分類。這應(yīng)該與您的風(fēng)險管理方法保持一致��。例如����,根據(jù)系統(tǒng)處理的信息的敏感性或系統(tǒng)是否支持關(guān)鍵業(yè)務(wù)功能對系統(tǒng)進行分類。這可以幫助識別每項資產(chǎn)的相關(guān)安全控制并監(jiān)控安全策略的合規(guī)性�。
數(shù)據(jù)源以網(wǎng)絡(luò)安全為重點的資產(chǎn)管理系統(tǒng)所需的數(shù)據(jù)可以來自多個來源。需要的信息可能不一定來自典型的資產(chǎn)管理工具 - 它可能是過程的輸出��。另請注意�,一種工具可能能夠提供多個數(shù)據(jù)源。 主動和被動數(shù)據(jù)源應(yīng)考慮主動和被動數(shù)據(jù)源的組合����,以確保整個環(huán)境的全面可見性���。 應(yīng)該在安全且適當(dāng)?shù)那闆r下使用主動掃描技術(shù)。如果主動掃描有問題����,請使用被動掃描工具。基于主機的代理和網(wǎng)絡(luò)掃描等主動源可以生成對資產(chǎn)的深入洞察�。然而,主動源檢測新資產(chǎn)的能力可能受到限制�����,或者由于網(wǎng)絡(luò)限制或潛在的設(shè)備不穩(wěn)定�,它們可能不適合某些環(huán)境,例如 OT 網(wǎng)絡(luò)����。 被動數(shù)據(jù)源可以通過尋找副作用而不是直接詢問資產(chǎn)來提供額外的可見性。這可能包括網(wǎng)絡(luò)源(DNS 和 DHCP 日志或流量捕獲)或應(yīng)用程序訪問和身份驗證日志����,這些日志可能會識別嘗試與其他系統(tǒng)通信的設(shè)備。這些源不會生成與活動源一樣多的詳細信息,但可用于驗證現(xiàn)有資產(chǎn)數(shù)據(jù)或檢測環(huán)境變化���。 示例數(shù)據(jù)源一些示例數(shù)據(jù)源包括: 采購記錄����。了解已購買的商品可以為您提供與資產(chǎn)管理數(shù)據(jù)庫交叉引用的來源�����。這可能無法識別自由獲得或通過非標(biāo)準(zhǔn)采購?fù)緩将@得的資產(chǎn)����。免費云服務(wù)是一個特殊的例子,其中數(shù)據(jù)可以在幾乎不受監(jiān)督的情況下存儲��。 移動設(shè)備管理器或系統(tǒng)/設(shè)備管理工具�。許多系統(tǒng)配置或移動設(shè)備管理器捕獲資產(chǎn)管理系統(tǒng)所需的信息�。然而,這些系統(tǒng)可能僅捕獲通用 IT 信息�����,并且可能不支持遺留 IT��。 記錄和監(jiān)控平臺��。這些可用于驗證配置數(shù)據(jù)庫或檢測新的或更新的資產(chǎn),包括云服務(wù)的使用���。這可能包括主機或網(wǎng)絡(luò)日志(交換機���、DHCP、DNS�����、代理等)等來源����。日志記錄和監(jiān)控平臺可以用作持續(xù)發(fā)現(xiàn)階段的一部分。 漏洞管理平臺���。與監(jiān)視和日志記錄工具一樣�,它可以用作持續(xù)發(fā)現(xiàn)的一部分�,也可以用于驗證配置管理信息的“單一來源”。此類平臺還可以添加更豐富的信息�,例如操作系統(tǒng)和補丁級別。 手動輸入�����。有時,工具和自動化不合適或不切實際�����。例如����,當(dāng)您只有少量資產(chǎn)需要管理或不尋常的資產(chǎn)時。這些案例的手動輸入仍應(yīng)通過定期審查保持最新���。 來自開發(fā)和工程團隊的信息���。設(shè)計、構(gòu)建和維護系統(tǒng)的人員將對事實真相有最深入的了解����。架構(gòu)圖或設(shè)計模式等文檔可以幫助您了解系統(tǒng)中期望的資產(chǎn)類型。 公鑰基礎(chǔ)設(shè)施�。審計記錄可用于識別已從內(nèi)部和公共證書頒發(fā)機構(gòu)頒發(fā)證書的用戶和系統(tǒng)�。這可用于根據(jù)頒發(fā)的證書類型確定關(guān)聯(lián)的角色。例如��,網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備不應(yīng)具有與公共 Web 服務(wù)器相同類型的證書。
驗證資產(chǎn)管理系統(tǒng)你怎么知道有你不知道的事情��?驗證資產(chǎn)管理流程可以確信不會無意中忽視任何資產(chǎn)�����。 應(yīng)該考慮一系列場景���,包括是否可以在不被檢測到的情況下添加或更改資產(chǎn)�����。例如��,如果用戶將一臺新筆記本電腦連接到網(wǎng)絡(luò)����,是否能夠檢測到該設(shè)備及其配置�?或者,如果設(shè)備上安裝了新軟件����,是否會檢查其是否存在漏洞? 可以通過多種方式幫助驗證資產(chǎn)管理流程: 考慮滲透測試范圍內(nèi)的設(shè)備識別���、添加和修改����。這可能會識別內(nèi)部資產(chǎn)和面向公眾的資產(chǎn)的資產(chǎn)管理流程中的差距或弱點。 查找日志數(shù)據(jù)中的異常情況��,例如來自不明設(shè)備的網(wǎng)絡(luò)流量�����。這可能表明存在非托管設(shè)備��。 識別過時的資產(chǎn)記錄�。這些可能表明設(shè)備尚未更新或已被改變用途。 使采購記錄和云計費與資產(chǎn)記錄保持一致��。查找已購買但資產(chǎn)管理流程未捕獲的資產(chǎn)����。
|
