主动可见性是强大网络安全的基础

最后更新于2024年10月4日星期五19:54:14 GMT

作者：IDC客座博客：Michelle Abraham

暴露不仅仅是cve，所以组织需要超越传统的思维 脆弱性管理 从整体的角度来看. 该视图的一部分必须是对设备的更大可见性, 用户, 应用程序, 以及所有与组织环境相连的数字基础设施. 这种观点上的差距会带来风险. 组织必须主动识别任何存在风险的东西，以决定是否采取行动.

提高可见性的解决方案可以发现资产, 在一个地方聚合所有资产数据, 并丰富这些数据，以了解用户之间的关系, 资产, 和应用程序. 这些网络安全资产管理系统连接到IT环境中的其他安全工具，以收集他们所看到的和他们所拥有的通信的遥测数据. 来自这些连接的数据可以重叠和重复, 因此，系统需要对数据进行重复数据删除，以使其对安全性有用.

攻击面管理（ASM） 通过显示数字资产的外部视图来增加可见性, 允许安全团队查看攻击者在其环境之外的视图. 攻击面迅速扩大，通常涉及混合多云环境和SaaS应用程序, 包括GenAI. 识别为获取关键数据提供途径的未知互联网资产，对于管理风险至关重要.

了解什么构成了必须得到保障的环境，应该是其余工作的基础. 找到影子IT的一部分有助于解决部分问题，但并不能解决问题. 另外，调查那些错误地归属于某个组织的资产会浪费时间. 当组织采用安全工具进行资产发现时，通常会多发现15%-30%的资产.

解决方案需要汇集许多数据源（包括第一方和第三方的内部和外部环境视图），以获得关于组织数字资产的单一真相来源. 资产必须包括云和本地资源，以优化组织的安全态势，以满足其风险承受水平. 解决方案还应该能够发现未知用户以及对IT资源和应用程序的未经批准的使用, 哪些是额外的风险暴露. 威胁和漏洞情报的添加有助于安全团队了解暴露的可利用性，以便对最关键的问题进行优先级修复.

来自这些工具的信息流需要不断更新，因为威胁行为者可以抓住任何漏洞, 无论是最近的还是现在的. 所显示的数据应包括业务上下文中的资产配置和资产关键性, 例如，资产是否支持关键业务应用程序或是否有权访问敏感数据集. 知道谁拥有资产也是非常重要的信息，这样当问题出现时，安全和IT部门就知道谁负责解决问题, 特别是如果所有权不在这两个领域. 资产所有权将推动对补救计划和活动的问责制.

使用到配置管理数据库（CMDB）的双向连接, 一个解决方案 网络资产攻击面管理（CAASM） ASM进一步使整个组织与最新的信息保持一致. 它增强了CMDB来帮助进行资产生命周期管理，因为不再接收更新的生命周期结束的设备会带来风险. 系统还应能够跟踪和报告额外的暴露, 例如证书即将过期或未知的证书颁发者.

资产和用户关系的地图有助于可视化攻击者在网络环境中横向移动的路径，从而到达组织的“皇冠上的宝石”. CAASM 和 ASM output must be more than just a dump of data from various tools; the data must be easy to query, 具有可操作的见解，帮助组织降低风险. 匹配来自资产的数据为团队提供了与资产相关的完整上下文，以帮助他们进行调查和补救工作. 如果有建议的操作以及与通知资产所有者问题并跟踪补丁或缓解状态的票务系统或自动化平台的集成，则修复过程会更容易.

考虑CAASM和ASM作为一个强大的基础元素, 成熟的安全程序，知道它的整个数字财产. 这种可见性消除了攻击者出其不意地攻击组织的一种方式, 从而降低整体风险.

赞助商致辞

现代IT环境的动态性需要一种主动的、持续的公开管理方法. 这样做需要实时查看您的整个数字资产以及使您的组织容易受到损害的暴露. 通过使用来自整个工具生态系统的真实威胁情报和上下文来丰富攻击面的统一内部和外部视图, 团队具有必要的态势感知，以确定响应工作的优先级，并加快修复的平均时间. 看 这个按需演示 了解Rapid7曝光命令如何帮助转换您的安全程序，并允许您控制攻击面.