如果安全團(tuán)隊(duì)意識(shí)到他們的資產(chǎn)清單不完整或已過(guò)時(shí)，他們應(yīng)該采取哪些首要步驟?

首要步驟是公開(kāi)溝通這一問(wèn)題，并向利益相關(guān)者警示與不準(zhǔn)確清單相關(guān)的潛在風(fēng)險(xiǎn)。那種認(rèn)為資產(chǎn)清單只是“一次性項(xiàng)目”的觀念已經(jīng)過(guò)時(shí)，需要轉(zhuǎn)變?yōu)榫S護(hù)一個(gè)包含業(yè)務(wù)上下文的持續(xù)更新的動(dòng)態(tài)地圖。

從已有的可見(jiàn)性出發(fā)，如終端代理、云服務(wù)提供商、DNS記錄、采購(gòu)系統(tǒng)，并開(kāi)始關(guān)聯(lián)這些信息。隨后，引入不依賴(lài)于內(nèi)部文檔的被動(dòng)和主動(dòng)發(fā)現(xiàn)方法。如果這個(gè)過(guò)程尚未自動(dòng)化，那么可以合理假設(shè)它已經(jīng)過(guò)時(shí)了。

從實(shí)際操作的角度來(lái)看，以下步驟可能有助于加強(qiáng)未來(lái)的資產(chǎn)發(fā)現(xiàn)工作：

啟動(dòng)自動(dòng)化發(fā)現(xiàn)流程：許多企業(yè)已經(jīng)擁有網(wǎng)絡(luò)掃描器、EDR代理或CMDBs等工具，然而，實(shí)施專(zhuān)門(mén)構(gòu)建的、持續(xù)的發(fā)現(xiàn)工具將通過(guò)提高可見(jiàn)性和上下文感知來(lái)提供額外的安全性。

定義清單的范圍和目標(biāo)：從硬件和軟件到云資產(chǎn)，對(duì)需要包含在清單中的資產(chǎn)進(jìn)行分類(lèi)，以避免遺漏環(huán)境中的關(guān)鍵元素。

建立跨職能團(tuán)隊(duì)：資產(chǎn)清單不僅僅是安全的責(zé)任，它是IT運(yùn)營(yíng)、網(wǎng)絡(luò)團(tuán)隊(duì)、開(kāi)發(fā)團(tuán)隊(duì)甚至業(yè)務(wù)部門(mén)之間的協(xié)作，以確保所有資產(chǎn)都被識(shí)別并準(zhǔn)確記錄，這將需要明確界定的角色和職責(zé)。

制定修復(fù)計(jì)劃：定義維護(hù)資產(chǎn)清單更新過(guò)程的步驟，包括時(shí)間表、責(zé)任方和使用的工具。

企業(yè)在發(fā)現(xiàn)本地、云和SaaS環(huán)境中的數(shù)字資產(chǎn)時(shí)，通常會(huì)面臨哪些最大的盲點(diǎn)?

最大的盲點(diǎn)并不是某個(gè)特定的資產(chǎn)，而是相信紙上所寫(xiě)的就是實(shí)際在生產(chǎn)環(huán)境中運(yùn)行的。許多企業(yè)往往只關(guān)注已知資產(chǎn)，這可能會(huì)產(chǎn)生一種虛假的安全感。

盲點(diǎn)并不總是由于惡意意圖造成的，而是由于分散的決策、被遺忘的基礎(chǔ)設(shè)施或尚未納入中央控制的新技術(shù)發(fā)展。

外部應(yīng)用程序、遺留技術(shù)和被遺棄的云基礎(chǔ)設(shè)施，如臨時(shí)測(cè)試環(huán)境，可能會(huì)在預(yù)期用途結(jié)束后很長(zhǎng)時(shí)間內(nèi)仍然存在漏洞，這些資產(chǎn)構(gòu)成風(fēng)險(xiǎn)，特別是當(dāng)它們因配置錯(cuò)誤或權(quán)限設(shè)置過(guò)寬而意外暴露時(shí)。

第三方和供應(yīng)鏈集成帶來(lái)了另一層復(fù)雜性，盡管這些資產(chǎn)并非直接擁有，但它們?nèi)匀豢赡軐?duì)你的環(huán)境產(chǎn)生重大影響。如果供應(yīng)商受到損害，風(fēng)險(xiǎn)實(shí)際上會(huì)轉(zhuǎn)移到你身上。如果沒(méi)有自動(dòng)化和持續(xù)驗(yàn)證，很難相信紙上所寫(xiě)的與實(shí)際情況相符。

在傳統(tǒng)的發(fā)現(xiàn)過(guò)程中，哪些類(lèi)型的資產(chǎn)最容易被忽視?

傳統(tǒng)發(fā)現(xiàn)過(guò)程往往會(huì)遺漏那些在網(wǎng)絡(luò)邊界內(nèi)沒(méi)有留下清晰、可追蹤足跡的資產(chǎn)。這包括在活動(dòng)或產(chǎn)品發(fā)布期間創(chuàng)建的子域名;未正式注冊(cè)或變更控制的公共API;第三方登錄門(mén)戶(hù)或與你的品牌和代碼倉(cāng)庫(kù)相關(guān)的資產(chǎn)，或通過(guò)DNS暴露的配置錯(cuò)誤的服務(wù)，這些資產(chǎn)位于邊緣，與企業(yè)相連但在傳統(tǒng)意義上并不屬于企業(yè)，這就是為什么它們?nèi)菀妆贿z漏，也容易被攻擊者發(fā)現(xiàn)。

資產(chǎn)發(fā)現(xiàn)應(yīng)如何與網(wǎng)絡(luò)安全堆棧的其他組件(如漏洞管理、威脅檢測(cè)和CMDBs)集成?

如果沒(méi)有準(zhǔn)確且持續(xù)的發(fā)現(xiàn)過(guò)程，用于漏洞管理、威脅檢測(cè)甚至CMDBs的工具將基于不完整或過(guò)時(shí)的信息進(jìn)行操作。

眾所周知，你無(wú)法修補(bǔ)你看不見(jiàn)的東西，更重要的是，如果你不知道應(yīng)該存在什么，你就無(wú)法檢測(cè)異常。資產(chǎn)發(fā)現(xiàn)有助于建立這一基準(zhǔn)，它還在豐富和糾正CMDBs方面發(fā)揮著至關(guān)重要的作用，因?yàn)镃MDBs經(jīng)常與生產(chǎn)環(huán)境中的實(shí)際情況不同步。

關(guān)鍵是將資產(chǎn)發(fā)現(xiàn)視為真相的來(lái)源，而不是審計(jì)的復(fù)選框，它驅(qū)動(dòng)優(yōu)先級(jí)排序、響應(yīng)，甚至合規(guī)性。

你建議企業(yè)如何從風(fēng)險(xiǎn)或暴露的角度對(duì)發(fā)現(xiàn)的資產(chǎn)進(jìn)行優(yōu)先級(jí)排序?

許多漏洞管理計(jì)劃嚴(yán)重依賴(lài)CVE計(jì)數(shù)或嚴(yán)重性評(píng)分，然而這種方法未能反映對(duì)業(yè)務(wù)的實(shí)際風(fēng)險(xiǎn)。僅僅識(shí)別出一個(gè)漏洞是不夠的，漏洞存在的上下文才是應(yīng)該驅(qū)動(dòng)優(yōu)先級(jí)排序的關(guān)鍵。

例如，重要的是要詢(xún)問(wèn)受影響的資產(chǎn)是否面向互聯(lián)網(wǎng)，是否支持關(guān)鍵業(yè)務(wù)功能，或者是否是供應(yīng)鏈或第三方集成的一部分。

還值得考慮的是，該資產(chǎn)是活躍使用還是處于休眠狀態(tài)，它是如何維護(hù)的，以及最終由誰(shuí)擁有，這些細(xì)節(jié)有助于確定潛在泄露的可能性和影響。

最終，企業(yè)通過(guò)基于暴露和與關(guān)鍵操作的接近程度來(lái)優(yōu)先排序，而不是僅僅基于簽名掃描，將獲得更大的價(jià)值。風(fēng)險(xiǎn)不僅僅是關(guān)于什么容易受到攻擊;它是關(guān)于什么被暴露、可被利用以及對(duì)業(yè)務(wù)的重要性。