導(dǎo)讀:
近日,ISC 2023第十一屆互聯(lián)網(wǎng)安全大會(huì)上線數(shù)字小鎮(zhèn)New50論壇,廣邀行業(yè)知名企業(yè)家、學(xué)者、技術(shù)專(zhuān)家展開(kāi)熱點(diǎn)安全技術(shù)、行業(yè)趨勢(shì)分享。開(kāi)放首日,曝光量突破千萬(wàn),在線人數(shù)逾百萬(wàn)!御安信息總經(jīng)理葉翔受邀并發(fā)表《漫談攻擊面管理——小缺口管理的大用途》主題演講。
01攻擊面和攻擊面管理
企業(yè)運(yùn)行過(guò)程中存在眾多暴露面,當(dāng)暴露面可以被用來(lái)疊加攻擊向量時(shí),就會(huì)形成攻擊面。攻擊面是指組織中容易受到攻擊和利用的系統(tǒng)元素集合包括軟件、硬件、組網(wǎng)、人員等方面,它是攻擊者對(duì)系統(tǒng)發(fā)起攻擊的所有可利用入口點(diǎn)的總和。攻擊面管理需要對(duì)內(nèi)部、外部資產(chǎn)持續(xù)發(fā)現(xiàn)、分析、監(jiān)控和評(píng)估以發(fā)現(xiàn)潛在暴露面、攻擊向量和風(fēng)險(xiǎn),并按照優(yōu)先排序進(jìn)行響應(yīng)處置的過(guò)程。對(duì)企業(yè)來(lái)說(shuō),由于業(yè)務(wù)需要,暴露面很難收斂,但是攻擊面卻可以實(shí)現(xiàn)收斂。
02基于PDCA方法的攻擊面管理流程
御安信息結(jié)合攻擊面管理方面的實(shí)踐經(jīng)驗(yàn),提出了基于PDCA方法的攻擊面管理流程,包括資產(chǎn)發(fā)現(xiàn)、資產(chǎn)管理、風(fēng)險(xiǎn)評(píng)估、加固和收斂等環(huán)節(jié)。通過(guò)資產(chǎn)盤(pán)點(diǎn)、 脆弱性評(píng)估、滲透測(cè)試以及威脅情報(bào)等進(jìn)行攻擊面分析,并依據(jù)資產(chǎn)評(píng)分和優(yōu)先級(jí)完成風(fēng)險(xiǎn)排序,在漏洞修復(fù)、補(bǔ)償措施、安全加固多方面實(shí)現(xiàn)攻擊面收斂。
03攻擊面管理的用途
攻擊面管理使組織能夠持續(xù)全面地發(fā)現(xiàn)、分析、監(jiān)控和評(píng)估內(nèi)外部資產(chǎn),發(fā)覺(jué)潛在安全風(fēng)險(xiǎn),可有效應(yīng)用于三類(lèi)主要業(yè)務(wù)場(chǎng)景:
應(yīng)用場(chǎng)景1:企業(yè)自身安全
企業(yè)互聯(lián)網(wǎng)資產(chǎn)的邊界模糊以及未知資產(chǎn)不清晰,導(dǎo)致企業(yè)運(yùn)營(yíng)成本巨大,無(wú)法實(shí)現(xiàn)安全管控,迫切需要攻擊面管理類(lèi)型產(chǎn)品進(jìn)行安全建設(shè)。攻擊面管理平臺(tái)可以通過(guò)對(duì)資產(chǎn)的風(fēng)險(xiǎn)分析,完成資產(chǎn)分級(jí)分類(lèi),幫助企業(yè)規(guī)避安全風(fēng)險(xiǎn),實(shí)現(xiàn)企業(yè)資產(chǎn)及其風(fēng)險(xiǎn)的全方位管理。
應(yīng)用場(chǎng)景2:網(wǎng)絡(luò)安全保險(xiǎn)核保
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的不確定性,導(dǎo)致保險(xiǎn)公司不愿承保或要求企業(yè)進(jìn)行一系列復(fù)雜的風(fēng)險(xiǎn)評(píng)估。這成為網(wǎng)安險(xiǎn)市場(chǎng)混亂、成本高昂的重要原因。而利用攻擊面作為網(wǎng)安險(xiǎn)核保指標(biāo)是相對(duì)科學(xué)的方法,目前已經(jīng)獲得了多家保險(xiǎn)公司的認(rèn)可。以攻擊面管理為基礎(chǔ)方法的企業(yè)安全評(píng)級(jí),可通過(guò)非侵入式動(dòng)態(tài)量化風(fēng)險(xiǎn)評(píng)估系統(tǒng),為企業(yè)提供實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估分析數(shù)據(jù)及報(bào)告,幫助保險(xiǎn)公司做出準(zhǔn)確判斷并作為保費(fèi)參考依據(jù),有效平衡雙方利益促進(jìn)網(wǎng)安險(xiǎn)市場(chǎng)發(fā)展。
應(yīng)用場(chǎng)景3:行業(yè)安全監(jiān)管
由于行業(yè)監(jiān)管部門(mén)轄管的企業(yè)數(shù)量多、管理難度大,無(wú)法有效感知企業(yè)安全狀態(tài),往往缺乏管理措施。相較于傳統(tǒng)態(tài)勢(shì)感知高成本、難監(jiān)測(cè)的痛點(diǎn)。攻擊面管理具備投入低、覆蓋廣、準(zhǔn)確性高等優(yōu)勢(shì),可強(qiáng)化互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理,深化網(wǎng)安態(tài)勢(shì)感知能力和屬地化網(wǎng)絡(luò)防護(hù)體系建設(shè),有效提高管理部門(mén)網(wǎng)絡(luò)安全威脅、事件、情報(bào)的監(jiān)測(cè)和發(fā)現(xiàn)能力,提升網(wǎng)絡(luò)綜合治理水平。
04某區(qū)政府攻擊面管理案例實(shí)踐
某區(qū)政府出具有效的激勵(lì)政策,要求區(qū)域內(nèi)生產(chǎn)對(duì)信息系統(tǒng)具有依賴(lài)性或有等保系統(tǒng)的企業(yè)購(gòu)買(mǎi)網(wǎng)絡(luò)安全保險(xiǎn),御安信息為該區(qū)提供完善的網(wǎng)絡(luò)安全水平和事件趨勢(shì)報(bào)告,并支持網(wǎng)絡(luò)安全事件的應(yīng)急救援和善后賠付。
御安CiRMP平臺(tái)展示
應(yīng)用成效
企業(yè)在御安CiRMP攻擊面管理平臺(tái)投保,御安信息負(fù)責(zé)對(duì)這些企業(yè)開(kāi)展快速的風(fēng)險(xiǎn)評(píng)估,整改合格后保單生效,分配給合作的保險(xiǎn)公司承保。
期間CiRMP平臺(tái)持續(xù)開(kāi)展保中監(jiān)測(cè)和監(jiān)督工作,督促和保障企業(yè)提升網(wǎng)絡(luò)安全水平。
一旦出險(xiǎn),御安信息負(fù)責(zé)快速響應(yīng),提供救援和理賠,幫助企業(yè)盡快復(fù)工復(fù)產(chǎn),將損失降到最低。
平臺(tái)幫助地方政府獲取準(zhǔn)實(shí)時(shí)轄區(qū)內(nèi)企業(yè)信息系統(tǒng)的健康狀況、網(wǎng)絡(luò)安全事件等信息,并提供報(bào)表和報(bào)告。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )