1 .介绍 2 .什么是资产? 3 .资产管理的重要性 4 .将资产管理集成到组织中 5 .良好的资产管理方法应包含哪些内容 6 .数据源 7 .验证资产管理系统
介绍如果想应用有效的安全控制,了解环境中拥有哪些资产至关重要。保护所了解的事物要容易得多。 本指南解释了资产管理对网络安全的重要性,并概述了实现良好网络安全成果所需的属性和实践。 下面我们给出了资产的工作定义,指出了一些有用的数据源,并详细介绍了资产管理和网络安全可以互惠互利的方式。 资产管理挑战即使在小型组织中,资产类型的多样性及其庞大的数量也可能使资产管理成为一项具有挑战性的任务。硬件、软件、虚拟基础设施、信息和在线帐户都必须考虑在内。 这种努力是值得的,因为资产管理可以帮助避免许多安全事件。在需要的地方正确了解您的资产,让您有机会在事件发生之前采取补救措施。
什么是资产?资产可以被认为是任何可以用来为您的组织创造价值的东西。 这包括知识产权或客户数据等信息。它还包含多种类型的技术,包括 IT 和OT、硬件和软件、物理位置和金融资本。当然,它还包括您的员工、他们的知识和技能。 从网络安全的角度来看,我们主要对两种类型的资产感兴趣: 必须配置或管理才能实现安全结果的资产。对于 IT 资产,IT 服务管理标准(例如 ITIL 4 和 ISO 20000)将此类资产称为配置项。 可能因网络事件而受到影响的资产。这些通常是您想要保护的东西。
影子IT“影子 IT”也称为灰色 IT,是指在组织内出于业务目的而使用的 IT 资产,但不作为资产和风险管理流程的一部分,或者不与企业 IT 流程集成。 此类设备令人担忧,因为它们不太可能与组织的安全或数据治理策略保持一致,因此构成未知风险。
资产管理的重要性资产管理并不是创建永远不会被使用的列表或数据库。良好的资产管理意味着创建、建立和维护有关您资产的权威且准确的信息,以便在您最需要时实现日常运营和高效决策。 资产管理为网络安全的大多数其他领域提供了基础: 风险管理。了解和管理网络风险取决于资产的核算。如果允许资产在雷达下溜走,那么是否缺少适当的安全控制措施就不会明显,从而导致无法管理的风险。 管理遗产。所有软件和硬件最终都会过时。超过该时间点继续使用产品会增加风险,或者增加减轻这些风险的成本。资产管理可以帮助组织确定系统何时将停止支持并提前计划。我们的过时产品指南可以帮助进一步管理遗留资产。 身份和访问管理。为了实施有效的身份和访问管理系统,必须能够识别用户和设备。资产管理可以帮助确保所有用户和设备都具有唯一的身份,还可以帮助识别需要应用访问控制的资源。 漏洞和补丁管理。对于网络系统来说,最好的防御措施之一是确保它们不包含已知的漏洞,因为这些漏洞很容易受到攻击。拥有有关硬件和软件资产的准确信息为确保应用可用更新并了解在何处扫描漏洞奠定了基础。能够快速回答诸如“漏洞 X 会影响我们吗?”之类的问题也很有用。每当宣布高影响漏洞时。 监控。有些威胁是无法预防的,因此必须有能力检测和调查潜在的威胁,从而减轻任何威胁。有效的监控能力取决于能否访问正确的数据。资产管理可以帮助您识别监控能力可能需要的相关数据源和丰富信息。 事件管理、响应和恢复。了解资产并确定哪些资产对组织最重要,有助于规划、响应事件并从事件中恢复。通过确保不会遗漏任何重要信息并提供正确的信息,将能够快速采取行动并最大程度地减少干扰。 不仅仅是网络安全。大多数业务运营都依赖于资产管理的某些方面。这包括 IT 运营、财务会计、管理软件许可证、采购和物流。虽然它们可能并不都需要相同的信息,但各自的需求之间会存在一些重叠和依赖关系。安全方面不应被孤立地考虑或作为资产信息的主要消费者,因此在整个组织中集成和协调资产管理将有助于减少或管理这些功能之间的任何冲突。
将资产管理集成到组织中资产管理实施起来具有挑战性,它涉及整个组织的一定程度的协调。适当的资产管理不仅仅涉及技术。采购等非技术职能也必须参与资产管理生命周期。 考虑到这些复杂性,获得高级管理层的支持非常重要。整个资产管理系统还必须有一个“所有者”。如果没有所有者,整个组织的协调将变得困难,资产也可能无法有效发挥作用。 资产管理应成为企业架构或网络安全流程的一部分,并定期向高级管理层提交资产管理流程的当前状态。
良好的资产管理方法应包含哪些内容资产管理系统将具有许多可以从网络安全角度增加价值的功能。 您的环境可能已经具备了利用部分或全部这些属性的工具。但所有环境都不同,因此您应该评估每个功能的需求。 下面的列表详细介绍了设计资产管理系统时应考虑的网络安全注意事项。该列表是无序的。 资产发现。使用工具定期或连续扫描环境以查找新的、修改的或删除的资产。这有助于维护准确的资产清单,并可用于检测对环境的未经授权的更改。 权威信息来源。保留每个人都同意反映环境的资产记录。考虑标准化和整合资产信息以避免重复并使其更易于访问。这确保了所有利益相关者都可以有效地使用收集到的信息,并且不需要额外的工作来验证。 准确的信息来源。应定期收集资产信息,以确保其保持最新状态,并记录“置信度”分数或“上次查看”时间戳,以反映信息的陈旧或不确定程度。每周收集一次服务器信息可能比较合适,因为更改很少,但可能需要每天收集一次桌面信息以进行配置统计或漏洞管理 资产信息的可用性。确保资产信息可访问以支持组织中的相关用例。配置管理数据库 (CMDB) 可能是您的资产管理解决方案中的重要组成部分,但这可能需要一系列工具的支持,以促进整个组织中资产数据的收集、处理、存储和使用。这确保了收集到的资产信息可以得到有效利用。 人为因素。资产管理流程应满足整个组织中用户的需求,并考虑可用性和可访问性等人为因素。可能需要采取务实的方法来避免过度的官僚主义。使用资产信息来简化业务流程可能有助于激励用户充分参与资产管理流程。这有助于确保资产信息的准确性不会因用户寻找解决方法并诉诸影子 IT 而降低。 自动化。应尽可能使用自动化机制来更新资产记录。理想情况下,工具应该记录资产信息以响应环境的变化,而不是在变化发生后才检测。应鼓励新项目从一开始就纳入自动化资产管理,以避免系统开发时出现技术债务或随着时间的推移而被放弃。这有助于确保维护准确的记录,并且不太可能错过或忘记更新,同时还减少了所需的持续成本和工作量。 完整性。确保资产管理流程对所有资产进行核算。这应包括物理、虚拟和云资源,以及您组织的互联网存在,以社交媒体帐户、域名注册、IP 地址空间和数字证书的形式。这有助于避免任何资产未配置适当的安全控制,并且是合规性和漏洞扫描所必需的。 综合可见性。确定组织将如何使用资产信息,并确保收集有关资产的足够详细信息来支持这些用例。例如,了解计算机上安装的所有软件的版本有助于识别更广泛的漏洞,而不仅仅是了解操作系统版本。如果捕获某些细节可能很困难或成本高昂,请考虑是否可以降低捕获频率或追溯性捕获这些细节,同时采取其他缓解措施(例如网络分离)。这有助于确保资产数据能够得到有效使用,并且不会因收集间隙而变得无法使用。 变化检测。确保记录资产信息的变化,并使用多个数据源来识别不一致的情况。例如,网络上新发现的设备没有相应的设备管理注册。这有助于识别对环境的未经授权的更改,并有助于调查安全事件。 保密。考虑所收集资产数据的敏感性。应用适当的保护和访问限制,同时确保支持相关用例。例如,所有用户都应该能够查找他们负责的资产,但应该防止任意批量查询。考虑监控对资产数据的访问,以查找可能的侦察迹象。这确保了资产数据可以有效地用于一系列用例,同时使潜在攻击者很难找到有用的信息。 使用前先注册。应在首次使用之前或首次使用时收集资产信息。这可以通过过程和检测能力来强制执行。例如,仅应为已注册的资产颁发证书身份,以防止未注册的设备向其他系统进行身份验证。通过使未注册的资产难以进入并保留在您的环境中,从而降低了创建影子 IT 的风险。 资产分类。考虑定义和使用类别来对资产进行分类。这应该与您的风险管理方法保持一致。例如,根据系统处理的信息的敏感性或系统是否支持关键业务功能对系统进行分类。这可以帮助识别每项资产的相关安全控制并监控安全策略的合规性。
数据源以网络安全为重点的资产管理系统所需的数据可以来自多个来源。需要的信息可能不一定来自典型的资产管理工具 - 它可能是过程的输出。另请注意,一种工具可能能够提供多个数据源。 主动和被动数据源应考虑主动和被动数据源的组合,以确保整个环境的全面可见性。 应该在安全且适当的情况下使用主动扫描技术。如果主动扫描有问题,请使用被动扫描工具。基于主机的代理和网络扫描等主动源可以生成对资产的深入洞察。然而,主动源检测新资产的能力可能受到限制,或者由于网络限制或潜在的设备不稳定,它们可能不适合某些环境,例如 OT 网络。 被动数据源可以通过寻找副作用而不是直接询问资产来提供额外的可见性。这可能包括网络源(DNS 和 DHCP 日志或流量捕获)或应用程序访问和身份验证日志,这些日志可能会识别尝试与其他系统通信的设备。这些源不会生成与活动源一样多的详细信息,但可用于验证现有资产数据或检测环境变化。 示例数据源一些示例数据源包括: 采购记录。了解已购买的商品可以为您提供与资产管理数据库交叉引用的来源。这可能无法识别自由获得或通过非标准采购途径获得的资产。免费云服务是一个特殊的例子,其中数据可以在几乎不受监督的情况下存储。 移动设备管理器或系统/设备管理工具。许多系统配置或移动设备管理器捕获资产管理系统所需的信息。然而,这些系统可能仅捕获通用 IT 信息,并且可能不支持遗留 IT。 记录和监控平台。这些可用于验证配置数据库或检测新的或更新的资产,包括云服务的使用。这可能包括主机或网络日志(交换机、DHCP、DNS、代理等)等来源。日志记录和监控平台可以用作持续发现阶段的一部分。 漏洞管理平台。与监视和日志记录工具一样,它可以用作持续发现的一部分,也可以用于验证配置管理信息的“单一来源”。此类平台还可以添加更丰富的信息,例如操作系统和补丁级别。 手动输入。有时,工具和自动化不合适或不切实际。例如,当您只有少量资产需要管理或不寻常的资产时。这些案例的手动输入仍应通过定期审查保持最新。 来自开发和工程团队的信息。设计、构建和维护系统的人员将对事实真相有最深入的了解。架构图或设计模式等文档可以帮助您了解系统中期望的资产类型。 公钥基础设施。审计记录可用于识别已从内部和公共证书颁发机构颁发证书的用户和系统。这可用于根据颁发的证书类型确定关联的角色。例如,网络基础设施设备不应具有与公共 Web 服务器相同类型的证书。
验证资产管理系统你怎么知道有你不知道的事情?验证资产管理流程可以确信不会无意中忽视任何资产。 应该考虑一系列场景,包括是否可以在不被检测到的情况下添加或更改资产。例如,如果用户将一台新笔记本电脑连接到网络,是否能够检测到该设备及其配置?或者,如果设备上安装了新软件,是否会检查其是否存在漏洞? 可以通过多种方式帮助验证资产管理流程: 考虑渗透测试范围内的设备识别、添加和修改。这可能会识别内部资产和面向公众的资产的资产管理流程中的差距或弱点。 查找日志数据中的异常情况,例如来自不明设备的网络流量。这可能表明存在非托管设备。 识别过时的资产记录。这些可能表明设备尚未更新或已被改变用途。 使采购记录和云计费与资产记录保持一致。查找已购买但资产管理流程未捕获的资产。
|
