对于任何一个安全专业人员来说,
其工作关键要求是了解环境。
根据工作角色、描述,
了解的详细程度可能会有所不同。
比如,我们需要知道哪些资产由谁使用,
为什么使用它,
哪些应用程序由哪些资产使用等等。
当然,同样重要的是,我们需要了解业务。
每当我们开始为一家新公司工作或开始一项新任务时,也许我们可以尝试从了解这个“组织/公司的风险偏好是什么?”开始。同时着手调查技术资产。风险偏好可以为我们提供了解技术资产所需的背景。技术资产会告诉我们一个组织或一家公司的网络安全成熟度。
每个组织/公司都应该有一个其组织/公司的风险登记手册。网络安全需要成为这个登记手册的一部分。这里明确提到了网络安全,因为对于一些组织/公司来说,物理安全也很重要。如果网络安全不是企业风险登记手册的一部分,那么网络安全成熟度很(极)低。 当我们在分析风险登记手册的内容时,还需要牢记重要的一点。了解组织/公司的风险登记手册具有高度政治性。 如果幸运的话,企业风险登记手册中会提到企业配置管理数据库或 CMDB,但很可能并没有。CMDB 始终是一个风险。因为它永远不会完整和/或准确。最近发现的 log4j 漏洞证明了完整和准确的 CMDB 的重要性。 在制定保护组织/公司和提高网络安全弹性的计划之前,我们需要了解公司正在使用哪些硬件和软件,尤其是正在使用哪些版本,以及它是如何相互关联的,并且这些数据应该在CMDB中。 在 IT 的早期,事情相对简单。只有物理设备,没有虚拟化。但随后虚拟化和容器技术被发明出来,一切都变得复杂起来。在服务器集群上,可以运行大量小型容器的管理程序。根据负载的不同,容器的数量也很灵活。 主要问题是“何时应该在 CMDB 中登记/注册资产?” 其次是“CMDB 应该达到哪个详细程度?”。只登记操作系统是否仍然足够,或者应该一直注册/登记资产的每个硬件/软件组件?如何确保所有注册数据保持最新?这些都是需要解决的重要问题。只有知道谁在使用数据,才能回答这些问题。但我们真的知道谁在使用 CMDB 数据吗?使用过时和/或不完整的 CMDB 本身就是一种风险,因为它可能会显著延迟事件的解决。 不是,CMDB 的手动更新应保持在最低限度。在可能的情况下,应使用工具来填充和/或更新 CMDB 中的数据。 关键是如果只注册实际需要的数据。这意味着我们需要知道谁在使用 CMDB 以及出于何种原因。一些 CMDB 解决方案能为我们提供更新 CMDB 的工具,而其他 CMDB 解决方案只会为我们提供更新 CMDB 的 API。而且这两种方法都很好。这需要花时间研究如何利用此功能来确保 CMDB 完整且准确。 但需要正式确定 CMDB 的准确性和完整性。100% 准确和完整听起来像是一个梦幻般的目标,也是完全不现实的。因为环境不是静态的,每天都会发生变化。尤其是当IT资产很多的时候。每年至少两次验证 CMDB 的完整性。只有这样,才能将准确率和完整率设置为 99%。特别注意动态生成和销毁的资产,即使它们是短暂的。 设置流程以填充 CMDB 后,设置流程以交叉验证 CMDB 数据也很重要。一个非常简单的过程可能是在你的网络上运行 NMAP 发现扫描,并查看是否所有发现的 IP 地址都已在 CMDB 中注册。可以使用相同的过程来验证所有已注册的资产,以查看它们是否仍然存在。NMAP 发现扫描不应再检测到停用的资产。 如果你正在使用漏洞扫描工具来发现环境中的漏洞,还可以使用漏洞扫描工具的输出来填充 CMDB。与 NMAP 数据相比,漏洞扫描数据是更丰富的数据,尤其是当通过运行登录扫描收集数据时。 软件工程师/开发人员的主要角色是创建或更新业务正在寻求的功能。我们需要了解他们是如何工作的,以了解是否以及在何处存在安全风险。 仍需要注意的事项是:第三方组件的使用(比如最近的 Log4j 漏洞)、非功能性需求测试(针对与安全相关的错误进行测试的软件)和单元测试。 如果在开发过程中没有进行单元测试,则需要假设存在安全风险。不正确的输入验证是真正的安全风险。这也是最近的 Log4j 漏洞背后的主要原因。碳泽信息
专注下一代安全防御和响应体系电话:400-1788-258
销售咨询:sales@tanze.net.cn
技术支持:support@tanze.net.cn
官网:http://www.tanze.net.cn