首席信息安全官管理日益增長的攻擊面策略
在本次行業(yè)媒體的采訪中,Detectify公司首席執(zhí)行官Rickard Carlsson討論了遠(yuǎn)程工作和數(shù)字化轉(zhuǎn)型背景下攻擊面管理的演變。
Carlsson強(qiáng)調(diào)了首席信息安全官今天面臨的挑戰(zhàn),包括在不斷擴(kuò)大的攻擊面中保持可見性和管理合規(guī)性,同時還要處理有限的資源和不斷增長的業(yè)務(wù)需求。
隨著向遠(yuǎn)程工作和數(shù)字化轉(zhuǎn)型的轉(zhuǎn)變,傳統(tǒng)的攻擊面管理概念是如何演變的?與幾年前相比,首席信息安全官今天面臨的最大挑戰(zhàn)是什么?
組織應(yīng)該開始忘記舊的基于邊界的安全方法。事實上,辦公室工作和遠(yuǎn)程工作已經(jīng)沒有區(qū)別了。沒有內(nèi)外之分,只有外在。現(xiàn)在需要保護(hù)的是不斷增長的、動態(tài)的、雜亂無章的端點、云服務(wù)和第三方應(yīng)用程序,它們構(gòu)成了外部攻擊面。
毫無疑問,首席信息安全官如今面臨著許多與攻擊面擴(kuò)展相關(guān)的挑戰(zhàn)。他們一直在努力保持可見性,跟上現(xiàn)代(快速發(fā)展的)技術(shù)變化,新的攻擊媒介,并保持在不斷增長的合規(guī)性和監(jiān)管浪潮(如NIS2、DORA或歐洲的網(wǎng)絡(luò)彈性法案)的前列。此外,他們需要在有限的資源和不斷增加的壓力下完成所有這些工作,以帶來業(yè)務(wù)價值。
傳統(tǒng)的攻擊面管理通常需要幫助處理不完整和過時的庫存。組織應(yīng)該采用什么策略和工具來確保其全面和最新的資產(chǎn)清單?
越來越多的組織采用多個云提供商,從而擴(kuò)大和分散其攻擊面。沒有持續(xù)映射和評估的庫存使得未知資產(chǎn)中的數(shù)字暴露和與域相關(guān)的漏洞(如子域接管或服務(wù)器錯誤配置)更容易被忽視。手動清單通常要么過時要么不完整,很少反映攻擊面的當(dāng)前狀態(tài)。
攻擊者很清楚總會有一個薄弱環(huán)節(jié),所以最好的策略是立即識別并密切監(jiān)控所有面向互聯(lián)網(wǎng)的資產(chǎn)的變化。自動和持續(xù)的掃描將幫助您的團(tuán)隊了解攻擊面中除了漏洞和問題之外的變化,以及該變化是否會帶來風(fēng)險,即使它只是一個IP、一個端口或一個云提供商。最好的工具還將授權(quán)安全團(tuán)隊,允許他們設(shè)置自己的策略來定義哪些更改應(yīng)該被視為風(fēng)險。
實時監(jiān)控和自動化有多重要?首席信息安全官如何利用這些工具來減少手工工作并改進(jìn)安全結(jié)果?
建議首席信息安全官尋找能夠真正幫助他們的團(tuán)隊以最有效的方式完成工作的工具,從簡化攻擊面發(fā)現(xiàn)(實時、連續(xù)的資產(chǎn)映射)到產(chǎn)生最準(zhǔn)確、最嚴(yán)格的評估(怎么強(qiáng)調(diào)都不夠),最后將發(fā)現(xiàn)無縫地集成到現(xiàn)有的工作流程中,以快速修復(fù)和減少手工工作。當(dāng)團(tuán)隊不能相信他們的發(fā)現(xiàn),不得不尋找假陽性時,就會浪費(fèi)本可以用來解決實際風(fēng)險或產(chǎn)生業(yè)務(wù)價值的寶貴時間。
首席信息安全官應(yīng)該關(guān)注哪些指標(biāo)來衡量其攻擊面管理策略的有效性?
有效性不是通過計算固定漏洞的總數(shù)來衡量的。假裝讓安全團(tuán)隊解決每個出現(xiàn)在他們面前的漏洞是不現(xiàn)實和低效的,特別是考慮到在許多組織的系統(tǒng)中沒有相關(guān)的攻擊路徑。
ciso應(yīng)該根據(jù)他們獨(dú)特的業(yè)務(wù)環(huán)境來定義他們的風(fēng)險,并專注于解決那些對他們的組織真正重要的事件和破壞。查看這些相關(guān)問題的檢測和補(bǔ)救時間也可能是有用的和有見地的。評估工作是否與遵從性需求和審計結(jié)果保持一致,也是攻擊面管理策略和工具有效性的良好指示器。
隨著許多組織依賴第三方供應(yīng)商和云計算服務(wù)提供商,首席信息安全官如何管理和減輕與第三方合作伙伴關(guān)系及其帶來的擴(kuò)展攻擊面相關(guān)的風(fēng)險?
首席信息安全官痛苦地意識到,數(shù)字化努力和現(xiàn)代技術(shù)堆棧意味著混合云和大型第三方依賴,這使得拍攝無縫隙攻擊面圖片的任務(wù)非常艱巨。為了降低這些風(fēng)險,他們應(yīng)該尋找能夠帶來自動和實時可見性的工具,并能夠管理跨多個云提供商托管的資產(chǎn)中的問題。一定程度的風(fēng)險敞口總是可以確定的,但由首席信息安全官來決定什么風(fēng)險是過度風(fēng)險。可接受的風(fēng)險總是因行業(yè)和數(shù)字成熟度的不同而不同。
