网络安全的 10 个步骤之资产管理

了解管理哪些数据和系统,以及它们支持哪些业务需求。

资产管理包括建立和维护资产所需知识的方式。随着时间的推移,系统通常会有机地增长,并且很难保持对环境中所有资产的了解。事件的发生可能是由于没有完全了解环境,无论是未打补丁的服务、暴露的云存储帐户还是错误分类的文档。确保了解所有这些资产是能够理解和解决由此产生的风险的基本前提。了解您的系统何时不再受支持可以帮助更好地规划升级和更换,以避免运行易受攻击的旧系统。


有什么好处?

能够识别您的组织中有哪些技术和信息

了解实现组织目标最重要的是什么,并评估技术或信息以某种方式受到损害时的影响。

能够识别和评估可能给组织带来风险的漏洞

在系统的整个生命周期中,减少未正确维护的未知系统被利用并导致事故的可能性

能够应用和维护相称的安全控制规划未来技术周期的能力

通过对资产的最新了解降低遗留或非托管系统的风险,因为可以计划在它们成为安全风险之前更换它们。

你该怎么办?

将资产管理集成到组织中

  • 考虑资产信息如何支持网络安全活动,例如风险管理、漏洞管理以及日志记录和监控。确定资产信息的用例将帮助了解在考虑资产管理方法时需要什么结果。对于每个用例,应该考虑需要哪些资产信息,以及涉及的人员和系统。

  • 确保负责整合和协调整个组织的资产管理。考虑资产管理的网络安全用例如何与其他用例相关,例如软件许可、IT 配置管理、服务交付、财务和物流。安全很少被视为资产信息的主要用途,因此协调的方法有助于确保资产管理流程满足组织网络安全用例的需求。

  • 寻求设计一种简化、自动化并减少官僚主义的方法。如果流程和系统难以使用或需要最终用户付出大量努力,他们就不太可能得到更广泛组织的全力支持。这可能会导致导致重复工作和不准确记录的变通方法。例如,可能不会对虚拟机进行漏洞扫描,因为用户很难注册它以进行扫描。或者 Web 服务器可能会因为管理员错误输入详细信息而错过关键更新。

了解关键服务和功能并确定相关的数据和技术依赖项,以便可以优先考虑这些服务和功能

  • 创建和维护资产清单。库存将有助于确保所有资产都得到考虑,并应包含支持网络安全用例(例如风险管理和漏洞管理)所需的信息。此信息不必存储在一个地方,可以根据需要进行分发。例如,可以为每个系统管理单独的库存。应该使用自动化方法来帮助确保资产信息准确、保持最新和一致。

  • 了解拥有哪些技术资产,包括硬件、软件、固件、外围设备和可移动媒体。应该记录每个资产的负责人及其用途。这可以帮助识别关键技术资产以及环境中可能存在漏洞的位置。

  • 了解拥有哪些数据以及这些数据的存储和处理位置,包括更多意想不到的位置,例如备份、本地缓存和下载。应该记录负责数据资产安全的人员(通常称为数据所有者或信息资产所有者)。考虑使用数据分类方案来帮助识别敏感信息并确保采取适当的保护措施(某些部门可能会强制执行此类方案)。

  • 了解拥有哪些内部和外部账户,以及它们对攻击者的价值。例如,考虑其他人能够在社交媒体上冒充组织或控制组织域名的潜在影响。应该了解组织的身份和数据是如何在线使用的,包括确定在何处使用影子服务(在没有充分监督的情况下更有可能使用这些服务)。

  • 帮助员工管理他们自己的数字足迹,尤其是高级管理人员、董事会成员或具有特权访问权限的员工,这些员工可能更容易成为攻击者的目标。有关组织和员工的公开信息可用于使网络钓鱼邮件更具说服力。

  • 了解现有系统的架构。这可能包括维护架构图,并应包括了解重要的信任边界在系统中的位置,尤其是连接互联网或面向第三方的系统和网络以及云服务。

  • 维护供应商清单以及他们持有的资产。确保在风险评估中捕获这些,以便可以管理关键依赖项和重大风险。确保保留相关的联系方式,并且在事件发生期间可以访问。

改进和验证知识

  • 考虑资产管理系统的各种信息源。环境中可能有许多现有的资产信息来源,例如配置管理工具和移动设备管理系统以及采购记录等非技术来源。每个潜在来源可能提供不同的属性,例如详细程度、收集的难易程度或信息的准确度和最新程度,因此来源的组合将有助于生成全面而准确的视图。

  • 使用日志记录和监控功能(或其他资产发现工具)来帮助识别未知资产并减少丢失任何东西的机会。在由于资产管理能力不是很成熟而存在重大知识差距的情况下,这种方法可能特别有用。

  • 意识到不太可能完全了解组织的资产。应该能够从大型同类系统(例如典型的企业桌面环境)中收集非常详细的数据。然而,这在不同的环境中更具挑战性,例如研究实验室或 OT 系统。应始终考虑收集特定细节的好处和这样做的成本。如果收集全方位数据不太实际,则应考虑其他控制措施,例如网络分离,以减轻由此产生的风险。

  • 制定计划来验证资产管理系统。例如,应该测试系统以确保可以检测到未经授权的设备或不合规的软件配置。此验证有助于确保对系统和数据的理解准确无误,因此不会面临未识别的风险。

只保留真正需要的

  • 确保可以阐明上述系统和数据如何链接回组织目标和战略,并确保这些系统的业务所有者与相应业务目标的所有者保持一致。

  • 停用任何不再使用或无法与业务需求相关联的系统或信息。确保在停用过程中删除数据并禁用任何相应的账户或凭据。不再需要的资产成为负债,因为它们可以打开漏洞或暴露信息而没有任何相应的好处,因此清理有助于减少不必要的风险


参考来源:英国国家网络安全中心官网

(0)

相关推荐

  • 资产管理在网络安全运营中的应用与实践

    目前大部分单位都无法准确地说出需要保护的资产数量,互联网暴露面很难梳理清楚,出现安全事件后无法第一时间定为到责任人,这些可以说是当前大部分组织的资产管理现状. 互联网暴露面收敛.安全漏洞修复与验证.威 ...

  • 白名单:在网络的“黑暗”中寻找光明

    本文来自于<控制工程中文版>(CONTROL ENGINEERING China )2016年11/12月合刊杂志,原标题为:白名单:在网络的"黑暗"中寻找光明 对关键 ...

  • 大数据安全分析03_数据采集对象与数据类型

    安全告警.系统与应用日志.网络流量以及资产漏洞.威胁情报等数据中,都包含大量有价值的安全信息,对这些分离的多源异构数据进行统一的采集与预处理,能够为网络安全大数据分析提供重要的数据基础. 日志数据 日 ...

  • 如何建设高校网络安全漏洞管理处置体系?

    随着信息技术的快速发展,网络已经成为人们生活中必不可缺的一部分,与此同时,网络安全也引起广泛的关注.<中华人民共和国网络安全法>的颁布实施,更是从根本上.从法律上确定了网络安全的重要性. ...

  • 复旦大学:新型信息资产治理平台为二级单位安全赋能

    近年来,随着高校信息化建设的不断推进,高校信息资源高速增长并持续累积,与此同时,当前网络安全形势日趋严峻,拥有大量信息资产的高校已成为网络攻击的重要目标,网络安全责任压力也与日俱增,在此背景下,高校信 ...

  • OT网络安全风险建模的标准方法(美国国家标准技术研究院)

    图片来源:CEChina 作者 | Steven Seiden " 随着IIoT部署的增加,制造企业需要积极应对新出现的网络安全漏洞,并为工业控制系统.RTU和SCADA等运营技术的应用部署 ...

  • 网络安全的 10 个步骤之风险管理

    首先再次祝大家国庆节快乐,假期收获满满! 采取基于风险的方法来保护数据和系统. 承担风险是做生意的自然组成部分.风险管理为决策提供信息,以便在威胁和机会之间取得适当的平衡,以最好地实现组织业务目标.网 ...

  • 网络安全的 10 个步骤之漏洞管理

    国庆快乐, 假期最后一天, 祝愿大家归家路上一路畅通! 在整个生命周期内保护系统. 大多数网络安全事件是攻击者利用公开披露的漏洞来访问系统和网络的结果.一旦漏洞被披露,攻击者通常会不加选择地寻求利用漏 ...

  • 网络安全的 10 个步骤之身份鉴别和访问控制

    控制谁和什么可以访问系统和数据. 需要保护对数据.系统和服务的访问.了解谁或什么需要访问,以及在什么条件下,与了解谁需要被排除在外同样重要.必须选择适当的方法来建立和证明用户.设备或系统的身份,并有足 ...

  • 网络安全的 10 个步骤之数据安全

    保护易受攻击的数据. 需要保护数据免遭未经授权的访问.修改或删除.涉及确保数据在传输.静止和寿命结束时受到保护(即,在使用后有效地消除或销毁存储介质).在许多情况下,数据不受组织直接控制,因此考虑可以 ...

  • 网络安全的10个步骤之事件管理

    提前计划对网络事件的响应. 事件可能对组织的成本.生产力和声誉产生巨大影响.但是,良好的事件管理会在事件发生时减少影响.能够检测并快速响应事件将有助于防止进一步的损害,减少财务和运营影响.在媒体聚光灯 ...

  • 网络安全的 10 个步骤之供应链安全

    与供应商和合作伙伴协作. 大多数组织依靠供应商来交付产品.系统和服务.对供应商的攻击可能与直接针对自己的组织的攻击一样造成损害.供应链通常庞大而复杂,有效地保护供应链可能很困难,因为漏洞可能在其中的任 ...

  • 网络安全的 10 个步骤之架构和配置

    安全地设计.构建.维护和管理系统. 技术和网络安全格局在不断发展.为了解决这个问题,组织需要确保从一开始就将良好的网络安全融入到他们的系统和服务中,并且这些系统和服务可以得到维护和更新,以有效地适应新 ...

  • 网络安全的 10 个步骤之日志记录和监控分析

    设计系统,使其能够检测和调查事件. 收集日志对于了解系统是如何使用的至关重要,并且是安全(或保护性)监控的基础.如果出现问题或潜在的安全事件,良好的日志记录实践将能够回顾发生的事情并了解事件的影响.安 ...

  • 网络安全的 10 个步骤之安全培训

    协作构建适用于组织中人员的安全性. 人应该是任何网络安全战略的核心. 良好的安全性考虑到人们在实践中的工作方式,并且不会妨碍人们完成工作.人们也可以成为预防事件(或检测何时发生)的最有效资源之一,前提 ...