组织库存中未考虑和保护的每一项资产都是潜在的攻击媒介,攻击者可利用其获取访问权限或在未被检测到的情况下进行移动。
在电影《瞬息全宇宙》中,主角伊芙琳·王必须穿越维度,对抗并击败威胁她家人在家园宇宙生存的邪恶力量。对于王来说,这是一场令人困惑和费力的战斗,需要她利用在多元宇宙中航行时获得的信息、经验和力量来知道她必须做什么来克服一路上遇到的挑战。这是一个错综复杂的故事线,与 CISO 致力于保护现代企业和正在部署的“事物”世界的日常工作没有什么不同。
现代企业是一个多元宇宙
就像伊芙琳·王的世界一样,当今的技术产业是错综复杂的多维环境,任何地方做出的决策都会对任何地方产生影响。多园区、多云、本地、基于云、移动和软件定义都是定义单个企业的常见术语。然后,您必须考虑构成典型环境的物理和虚拟资产,其中许多资产的来去、连接和断开独立于 IT 管理。很难跟上;但你必须跟上,因为威胁行为者会不断地寻找漏洞,以便他们能够实施他们想要的任何攻击。
我最近与一家大型企业的 CISO 的一次谈话就说明了这个困境。
“我对每台设备负责,无论我是否知道,”他说。“因为我们不知道连接到网络的所有设备,所以我们存在未受保护的盲点。”
你所看到的并不是你所得到的全部
为了保护技术资产,您需要能够实时查看整个网络,并掌握上下文信息以做出正确的决策。对于任何组织来说,这都是一项艰巨的任务,尤其是对于那些依赖庞大 IT 资产的组织来说。在IBM 委托的 2022 年研究中,技术分析公司 IDC 发现,所研究的 29 个组织管理的 IT 资产平均数量为 270 万个。有很多系统和设备,而且只是已知库存中的系统和设备。另一份报告发现,组织中多达 20% 的 IT 资产对于 IT 管理和安全运营来说可能是不可见的,这意味着平均企业中有超过 50 万个不安全的资产正在运行。
在这 20% 中,并非所有都是在快速发展的技术环境中迷失的传统 IT。由于连接性非常重要,因此构成物联网 (IoT) 的许多事物最终都会连接到企业网络。根据我们在 Ordr 的经验,我们看到了健身器材、游戏机、Kegerators、特斯拉汽车等与关键任务 IT 系统、医疗物联网 (IoMT) 设备、操作技术 (OT) 和其他设备一起运行。还有很多。
实时资产盘点是安全的基础
组织库存中未考虑和保护的每一项资产都是潜在的攻击媒介,或者沿着攻击者可用来获取访问权限或在未被检测到的情况下移动的路径或横向移动。威胁行为者知道这一点,并且越来越多地将目标瞄准物联网以利用。一家网络安全公司表示,自 2020 年以来, 针对物联网设备的攻击增加了 700%,微软安全研究人员最近发现了针对物联网设备的“复杂的攻击活动”。
这给CISO带来了很大的压力,而且还会陷入恶性资产管理和安全循环,因为无法跟踪包括物联网在内的所有资产,意味着您无法正确识别攻击面。其中包括存在漏洞的资产、运行过时操作系统的资产或缺少安全代理或补丁的设备。这也意味着 IT 和安全运营没有以最高效率运行,决策(和自动化)的环境不太精确。威胁在混乱中滋生,因此,如果资产没有得到充分的实时盘点、监控和管理,风险就会增加。
驾驭现代资产世界的三个安全考虑因素
当安全盲点成为问题时,解决问题的最佳第一步是使用工具,使 IT 和安全团队能够了解企业的裂缝和裂缝。但对此也有一些考虑:
精细的背景很重要——资产可见性必须包括深层威胁和资产背景。这需要结合多种方法来持续发现资产并对其进行分类——通过网络流量、API、NetFlow 的深度数据包检查。例如,为了确定您是否受到 MOVEit 等零日漏洞的影响,您必须了解您的设备上实际运行的应用程序。同样,要识别影响您资产的漏洞,您可能需要了解正在运行的操作系统的特定次要版本。
通过人工智能进行的行为分析可以成为区分因素——设备是确定性的,视频监控摄像头、暖通空调系统或医疗设备都根据其功能在网络中具有特定的行为。对这些通信模式进行基线分析的能力不仅可以发现异常情况(潜在危害的早期指标),还可以为保护这些设备的基本零信任策略提供信息。
自动化策略对于扩展非常重要——当网络中有数十万台连接设备时,保护它们的唯一方法就是通过自动化策略。这意味着动态生成主动零信任策略以仅启用关键任务设备的“基线”通信,或生成反应性策略以阻止端口、将设备移动到不同的网段或终止会话。当设备符合特定配置文件时,可以自动应用预定义的策略,例如,当在网络上发现新设备时激活漏洞扫描。
伊芙琳·王学会了如何在多元宇宙的维度之间航行,以应对在她的家乡维度中不可见的挑战。CISO 必须获得方法,以保真度和精细的上下文查看多维企业中的每项资产。只有这样,他们才能识别攻击面并解决使企业面临风险的安全漏洞。
编译自:安全周刊
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...