本文共 2400 字,预计阅读需要 8 分钟,转载请注明出处。
最近Gartner在网络安全炒作周期里提到了一个新概念:网络资产攻击面管理(Cyber asset attack surface management)(CAASM)。Gartner对其的解释为:网络资产攻击面管理(CAASM)是一项新兴技术,专注于使安全团队能够解决持续的资产可见性和漏洞挑战。它使组织能够通过API与现有工具的集成查看所有资产(内部和外部),查询整合的数据,确定安全控制中的漏洞和差距的范围,并修复问题。
关于资产可见+相关漏洞的关联,我们在安全能力成熟度模型(CMM-S)的初期任务(Identify(识别)阶段)里面就进行了定义,详细的定义内容如下:
示例以“L2级(提升能力)《主动防御、动态防御阶段》”展示
域 | 项 | 子项 | 2级(提升能力) 《主动防御、动态防御阶段》 |
资产安全 | 全网IT资产发现 | IT资产发现和梳理 | 部署自动资产发现工具,并使用它来构建与组织的公共和私有网络连接的系统的初步清单。既可以使用扫描IPv4或IPv6网络地址范围的主动工具,也可以采用通过分析主机的流量来识别主机的被动工具。应能够实时发现资产的变动。 |
资产清单应支持以word、execl、pdf等格式方式导出。 | |||
资产拓扑绘制 | IT资产发现工具应能自动绘制网络拓扑结构图;网络拓扑结构图支持手动编辑。 | ||
网络拓扑结构图支持下钻查看详细资产信息。应能在网络拓扑结构图显示异常资产。 | |||
网络边界识别 | 应能明确梳理安全域之间的网络边界,包括互联网边界。 | ||
网络安全设备识别 | IT资产发现功能应能自动发现网络中的网络安全设备,并在网络拓扑结构图中进行标记。 | ||
资产漏洞检测 | // | 应采用自动化工具发现可能存在的已知漏洞。漏洞检测时间间隔应不超过一周。漏洞样本库的应实时或近实时升级。 | |
漏洞信息应同资产进行关联,资产网络拓扑结构图中的资产信息应包括漏洞相关信息。 | |||
漏洞信息应支持以word、execl、pdf等格式方式导出。 | |||
…… |
在《中华人民共和国个人信息保护法》表决通过之前,我们在安全能力成熟度模型(CMM-S)的设计内容中,就考虑到了“个人信息识别”及后续的防护要求及建议。
示例“Identify(识别)”阶段的展示
域 | 项 | 子项 | 2级(提升能力) 《主动防御、动态防御阶段》 |
业务安全 | 业务流程梳理 | // | 应对所有业务进行业务流程梳理,并绘制业务流程图。 |
个人信息识别 | // | 应对系统内个人信息的采集内容进行识别。 | |
// | 应对系统中个人信息存储的位置进行识别。 | ||
// | 应对个人信息的访问权限和规则进行识别。 |
与此同时,模型中也明确提出了“安全风险自评估”的要求:
示例“Identify(识别)”阶段的展示
域 | 项 | 子项 | 2级(提升能力) 《主动防御、动态防御阶段》 |
风险评估 | 安全风险自评估 | // | 应每三个月进行一次安全风险自评估,并对存在的安全风险进行验证和确认。 |
安全风险评估完成后,须同历史安全评估报告进行对比,并进行书面总结。 | |||
安全风险评估报告应由专人进行归档管理。 | |||
历史风险评估报告 | // | …… |
为了更好的验证安全防护能力的有效性,持续应对脆弱性带来的风险,我们通过“抗攻击能力评估技术”,利用自动化措施进行“有效性进行检验”,检验结果可作为“输出”为M-M(Machine to Machine)的自动化响应提供“执行策略输入”,可实现根据检验结果对安全策略进行自适应调整和完善。该部分指标项应用于“资产全生命周期”:上线前-上线策略配置-运行过程中-下线/废除。
示例“Protect(防护)”阶段的展示
域 | 项 | 子项 | 2级(提升能力) 《主动防御、动态防御阶段》 |
安全加固 | 系统补丁修复 | // | 应对漏洞的危害程度进行分析和评估,并及时对漏洞进行修复。漏洞的修复情况应进行日志记录,日志存放周期应不小于六个月。 |
漏洞补丁应在先在测试环境中进行测试,再在实际环境中使用。 | |||
应将无法修复的漏洞作为残余风险进行记录,并对漏洞风险和危害程度进行分析和评估,相关信息以文档方式进行保存。 | |||
应采用自动化措施对漏洞修复的有效性进行检验,并根据检验结果进行调整和完善。 | |||
安全策略调整 | // | 应根据业务需求、安全风险预警、风险评估报告、渗透测试报告等内容对安全策略进行优化和完善。 | |
应能联动风险发现设备,对安全策略进行自动调整。 | |||
边界安全 | 边界隔离 | // | 网络边界处(安全域之间、不同网络之间)应部署有效的边界隔离措施,安全策略应根据事业环境因素和组织过程资产进行实时更新和调整。 |
边界隔离能力应采用自动化措施进行有效性检验,并根据检验结果对安全策略进行自适应调整和完善。 | |||
访问控制 | // | 应在网络边界处(安全域之间、不同网络之间、云服务客户虚拟网络之间)部署访问控制机制,设置访问控制规则。 | |
访问控制机制应采用自动化措施进行有效性检验,并根据检验结果进行自适应调整和完善。 | |||
…… | |||
计算环境安全 | 访问控制 | // | 应对登录的用户分配账户,并按照业务使用最小授权原则进行授权。 |
应基于环境和行为因素,采用自适应的访问控制策略。 | |||
…… | |||
访问控制相关日志保存周期应不少于六个月。 | |||
访问控制能力应采用自动化措施进行有效性检验,并根据检验结果进行自适应调整和完善。 | |||
…… |
示例“Verify(验证)”阶段的展示
域 | 项 | 子项 | 2级(提升能力) 《主动防御、动态防御阶段》 |
实战演练评估 | 安全性验证 | 攻击与突破 | 系统上线前应进行渗透测试,并对发现的安全问题进行合理处置。 |
系统上线后应采用自动化措施对系统的安全检测、防御能力进行有效性检验,并根据检验结果进行自适应调整和完善。 | |||
每三个月至少对整体信息系统进行一次实网攻防演练。 | |||
…… |
备注:网络资产攻击面管理(Cyber asset attack surface management)(CAASM)
(1)Gartner,网络安全炒作周期,2021年,Shilpi Handa,Pete Shoard,2021 年 7 月 14 日。
(2)Gartner,2021 年安全运营炒作周期,Pete Shoard,Shilpi Handa,2021 年 7 月 23 日。
写在文末:Gartner对网络资产攻击面管理(CAASM)炒作周期的效益评价为:中等,成熟度为:新兴,市场情况为:不到1%的目标受众,到达应用峰值的时间估算为:5至10年。我从自动化渗透工具时期开始关注这个“自动化渗透”市场。对于政务云、智慧城市、重要政/军单位、大企业而言,只要“网络安全”开始自主化以后,“验证类的工具”、“资源的建设”、“人的能力”都将逐步成为其必备的能力。
-KKutstar.Wu
2021.08.23
交流微信号:kkutstar
关联文章:
(1)网络安全能力成熟度模型(CMM-S)构建
(2)安全运营中心能力成熟度模型(CMM-SOC)构建
安全能力成熟度模型和安全运营中心能力成熟度模型的关系
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...