掌握企業風險脈絡是實現全面 IT 能見度的必備要素
全面並持續掌握所有 IT 資產最新且詳盡的動態,是安全團隊夢寐以求的目標。 為了達到這個目標,我們必須先了解「能見度」的真正涵義,它不僅止於單純辨識 IT 資產內容及知道需解決的困難而已。
如果回顧過去 20 多年來所有資安框架或最佳做法的起點,可以發現最初階段不外乎是「發現」、「辨識」或「了解」,抑或是一些其他類似概念。 總體而言,這些概念所表達的是,如果我們連自己擁有哪些資產都一無所知,更遑論要保護它們。 更確切地說,如果我們不知道自己擁有哪些 IT 資產,便無法明智地決定應如何或從何保護我們的環境。 對整體基礎架構的所有資產組成內容擁有廣泛的能見度,乃是成功資安方案的關鍵和基礎。
即使大家普遍接受並認可這個道理,多數資安從業人員還是會說,要達到完整能見度的狀態極為困難。 安全團隊建置了各式各樣的工具、投入大量時間整合來自不同資產管理系統與其他潛在事實來源的資料集,但是敢擔保自己真正了解自身環境的人其實少之又少。 這是為什麼呢? 原因通常可歸結於企業在了解其環境時未設想到的兩個關鍵考量:
- 您真的是在尋找和辨識所有資產,還是只有您熟知的資產?
- 您了解資產在安全調查結果、風險及其對企業影響層面的相關脈絡嗎?
首先,也是最重要的一點,實現全面能見度意味著必須辨識和評估所有技術資產,而非侷限於 IT 和安全團隊熟知的「簡單」資產。 儘管從伺服器、工作站、網路基礎架構設備及其他傳統 IT 裝置著手是很棒的做法,但企業卻經常忽視或完全遺漏了其他資產。 企業遺漏了什麼? 自問您的團隊是否有辨識下列資產:
- 資料庫
- Web 應用程式
- OT / ICS / SCADA / 工業物聯網裝置
- 雲端基礎架構
- 虛擬化平台
- 容器
- 雲端協調服務
- 基礎架構即程式碼 (IaC) 設定
- Active Directory / 憑證 / 群組
- 面向公眾的主機 / 主機名稱 / 記錄
沒有列出來的資產還有很多。 一般認為辨識這類資產的困難度很高,但它們對絕大多數企業而言卻是極為重要的資產並處於網路攻擊的風險之中,一旦遭到入侵將重創企業的財務和商譽。 如果安全團隊想要往前邁出有意義的第一步,以求提升能見度並更加完整了解環境,那麼所有這些資產和我們熟悉的傳統資產都必須兼顧。
基於這個原因,Tenable 不斷將各類工具廣納至平台中,確保可安全並正確辨識這類資產,並將資料集中至單一位置。 在辨識弱點及其他安全風險之前,我們要先有能力辨識和了解目標。 只要具備這種水準的能見度,企業便能更輕易了解環境中最大風險所在,並從最重要的地方開始採取必要的緩解風險措施。
現在,企業可能已對收集資產庫資料駕輕就熟,亦十分了解其環境全貌。 然而,這卻是另一個崩毀的開始。 有大量的迥異資料分散在數個不同的存放庫,這意味著安全團隊必須執行多次轉換才能將資料集中放入單一位置以利分析,此外還需設法將收集到的資訊標準化。 畢竟不是每一項資產都具備 IP 位址或主機名稱。 程式碼存放庫和容器執行個體各自有其不同的識別碼。 Web 應用程式可能是以網域名稱或 URL 作為識別名稱,但工業可程式化邏輯控制器 (PLC) 甚至可能不會連接到已知網路。
除了龐雜且琳琅滿目的基本資產識別碼之外,更麻煩的還在後頭。 根據資產本身而定,任何類型的弱點或安全調查結果也同樣存在極大的差異,呈現截然不同的樣貌。 伺服器的弱點可能很好辨識且具有指定的 CVE 編號,但 IaC 設定錯誤根本沒有標準的識別碼。 Web 應用程式的 SQL 注入攻擊和跨網站指令碼是較偏向技術性質的弱點,其有別於可一貫辨識出的明確 OS 弱點。 在 Active Directory 領域中,因為對企業中的 AD 運作方式及憑證驗證的便宜行事,衍生出諸多潛藏的安全問題,而這些問題無法單憑套用修補程式來修正。
如果安全團隊的任務是要試圖了解環境中的風險,且需決定優先緩解何處或哪些風險,假使欠缺一致的比較基準,試問又怎麼知道要從何開始著手呢? 實際上,「拿蘋果跟橘子相比」還不足以形容資料的巨大差異,倒不如說是「拿蘋果跟太空船相比、然後再跟企鵝相比」更為貼切。 了解資產背後的脈絡及其安全調查結果尤為關鍵。 我們必須先匯集所有資訊,並用一致且可衡量的方式將資訊標準化,了解各項安全調查結果中所發現會危害企業的風險。 接著我們才能開始釐清這些風險因素彼此間的關聯性,進而針對企業面臨最大風險的環節、存在多少風險,以及應採取的具體緩解措施,做出最佳決策。 收集資料本身就很困難,即便您能做到這一點,如果無法關注真正的重點所在,終究還是會窒礙難行。 您最後仍得應付一大堆試算表和資料庫,到底要從何著手的老問題依舊懸而未決。
想要獲得更多有關安全策略的指引嗎?查看 Tenable 的 2021 年威脅態勢回顧,它提供了去年一年威脅態勢的全方位分析,能讓安全專業人員立即用來改善其安全方案,同時也歡迎您觀看「現代攻擊破綻的曝險管理:判別與傳達在您的環境中哪些部分風險最高並且應優先修復。」網路研討會。
相關文章
Visibility of the Unknown: Understanding EASM and How It Can Help
January 3, 2023External attack surface management (EASM) is difficult and oftentimes confusing, especially in a world of poor inventory controls and a growing attack surface. This blog discusses what's required to do EASM successfully.
Cybersecurity Snapshot: Log4j Anniversary, CI/CD Risks, Infostealers, Email Attacks, OT Security
December 9, 2022Get the latest on the anniversary of the Log4j crisis; OWASP’s top CI/CD risks; a surge of infostealer malware; the fund transfer fraud — business email compromise connection; and more!
Are You Ready for the Next Log4Shell? Tenable’s CSO and CIO Offer Their Advice
December 6, 2022Tenable CIO Patricia Grant and CSO Robert Huber share insights and best practices to help IT and cybersecurity leaders and their teams weather the next cyber crisis of Log4j proportions.
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Enhancing Transportation Cybersecurity and Fleet Management for the DoD
March 25, 2024Few things can halt operations across the Department of Defense like a critical failure of logistics and transportation. From automated asset inventory to malicious-activity detections through baselining, learn how Tenable OT Security can protect these critical functions within the DoD and work towards the federal government’s zero trust mandate in OT environments.
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
- Asset Management
- Risk-based Vulnerability Management