网络安全的 10 个步骤之资产管理
了解管理哪些数据和系统,以及它们支持哪些业务需求。
资产管理包括建立和维护资产所需知识的方式。随着时间的推移,系统通常会有机地增长,并且很难保持对环境中所有资产的了解。事件的发生可能是由于没有完全了解环境,无论是未打补丁的服务、暴露的云存储帐户还是错误分类的文档。确保了解所有这些资产是能够理解和解决由此产生的风险的基本前提。了解您的系统何时不再受支持可以帮助更好地规划升级和更换,以避免运行易受攻击的旧系统。
有什么好处?
|
能够识别您的组织中有哪些技术和信息 |
了解实现组织目标最重要的是什么,并评估技术或信息以某种方式受到损害时的影响。 |
能够识别和评估可能给组织带来风险的漏洞 |
在系统的整个生命周期中,减少未正确维护的未知系统被利用并导致事故的可能性 |
能够应用和维护相称的安全控制规划未来技术周期的能力 |
通过对资产的最新了解降低遗留或非托管系统的风险,因为可以计划在它们成为安全风险之前更换它们。 |
你该怎么办?
将资产管理集成到组织中
考虑资产信息如何支持网络安全活动,例如风险管理、漏洞管理以及日志记录和监控。确定资产信息的用例将帮助了解在考虑资产管理方法时需要什么结果。对于每个用例,应该考虑需要哪些资产信息,以及涉及的人员和系统。
确保负责整合和协调整个组织的资产管理。考虑资产管理的网络安全用例如何与其他用例相关,例如软件许可、IT 配置管理、服务交付、财务和物流。安全很少被视为资产信息的主要用途,因此协调的方法有助于确保资产管理流程满足组织网络安全用例的需求。
寻求设计一种简化、自动化并减少官僚主义的方法。如果流程和系统难以使用或需要最终用户付出大量努力,他们就不太可能得到更广泛组织的全力支持。这可能会导致导致重复工作和不准确记录的变通方法。例如,可能不会对虚拟机进行漏洞扫描,因为用户很难注册它以进行扫描。或者 Web 服务器可能会因为管理员错误输入详细信息而错过关键更新。
了解关键服务和功能并确定相关的数据和技术依赖项,以便可以优先考虑这些服务和功能
创建和维护资产清单。库存将有助于确保所有资产都得到考虑,并应包含支持网络安全用例(例如风险管理和漏洞管理)所需的信息。此信息不必存储在一个地方,可以根据需要进行分发。例如,可以为每个系统管理单独的库存。应该使用自动化方法来帮助确保资产信息准确、保持最新和一致。
了解拥有哪些技术资产,包括硬件、软件、固件、外围设备和可移动媒体。应该记录每个资产的负责人及其用途。这可以帮助识别关键技术资产以及环境中可能存在漏洞的位置。
了解拥有哪些数据以及这些数据的存储和处理位置,包括更多意想不到的位置,例如备份、本地缓存和下载。应该记录负责数据资产安全的人员(通常称为数据所有者或信息资产所有者)。考虑使用数据分类方案来帮助识别敏感信息并确保采取适当的保护措施(某些部门可能会强制执行此类方案)。
了解拥有哪些内部和外部账户,以及它们对攻击者的价值。例如,考虑其他人能够在社交媒体上冒充组织或控制组织域名的潜在影响。应该了解组织的身份和数据是如何在线使用的,包括确定在何处使用影子服务(在没有充分监督的情况下更有可能使用这些服务)。
帮助员工管理他们自己的数字足迹,尤其是高级管理人员、董事会成员或具有特权访问权限的员工,这些员工可能更容易成为攻击者的目标。有关组织和员工的公开信息可用于使网络钓鱼邮件更具说服力。
了解现有系统的架构。这可能包括维护架构图,并应包括了解重要的信任边界在系统中的位置,尤其是连接互联网或面向第三方的系统和网络以及云服务。
维护供应商清单以及他们持有的资产。确保在风险评估中捕获这些,以便可以管理关键依赖项和重大风险。确保保留相关的联系方式,并且在事件发生期间可以访问。
改进和验证知识
考虑资产管理系统的各种信息源。环境中可能有许多现有的资产信息来源,例如配置管理工具和移动设备管理系统以及采购记录等非技术来源。每个潜在来源可能提供不同的属性,例如详细程度、收集的难易程度或信息的准确度和最新程度,因此来源的组合将有助于生成全面而准确的视图。
使用日志记录和监控功能(或其他资产发现工具)来帮助识别未知资产并减少丢失任何东西的机会。在由于资产管理能力不是很成熟而存在重大知识差距的情况下,这种方法可能特别有用。
意识到不太可能完全了解组织的资产。应该能够从大型同类系统(例如典型的企业桌面环境)中收集非常详细的数据。然而,这在不同的环境中更具挑战性,例如研究实验室或 OT 系统。应始终考虑收集特定细节的好处和这样做的成本。如果收集全方位数据不太实际,则应考虑其他控制措施,例如网络分离,以减轻由此产生的风险。
制定计划来验证资产管理系统。例如,应该测试系统以确保可以检测到未经授权的设备或不合规的软件配置。此验证有助于确保对系统和数据的理解准确无误,因此不会面临未识别的风险。
只保留真正需要的
确保可以阐明上述系统和数据如何链接回组织目标和战略,并确保这些系统的业务所有者与相应业务目标的所有者保持一致。
停用任何不再使用或无法与业务需求相关联的系统或信息。确保在停用过程中删除数据并禁用任何相应的账户或凭据。不再需要的资产成为负债,因为它们可以打开漏洞或暴露信息而没有任何相应的好处,因此清理有助于减少不必要的风险
参考来源:英国国家网络安全中心官网