御安信息葉翔:漫談攻擊面管理——小缺口管理的大用途

  • 人閱讀
  • 2023-08-24 09:16:10

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

導(dǎo)讀:

近日,ISC 2023第十一屆互聯(lián)網(wǎng)安全大會上線數(shù)字小鎮(zhèn)New50論壇,廣邀行業(yè)知名企業(yè)家、學(xué)者、技術(shù)專家展開熱點(diǎn)安全技術(shù)、行業(yè)趨勢分享。開放首日,曝光量突破千萬,在線人數(shù)逾百萬!御安信息總經(jīng)理葉翔受邀并發(fā)表《漫談攻擊面管理——小缺口管理的大用途》主題演講。

01攻擊面和攻擊面管理

企業(yè)運(yùn)行過程中存在眾多暴露面,當(dāng)暴露面可以被用來疊加攻擊向量時,就會形成攻擊面。攻擊面是指組織中容易受到攻擊和利用的系統(tǒng)元素集合包括軟件、硬件、組網(wǎng)、人員等方面,它是攻擊者對系統(tǒng)發(fā)起攻擊的所有可利用入口點(diǎn)的總和。攻擊面管理需要對內(nèi)部、外部資產(chǎn)持續(xù)發(fā)現(xiàn)、分析、監(jiān)控和評估以發(fā)現(xiàn)潛在暴露面、攻擊向量和風(fēng)險,并按照優(yōu)先排序進(jìn)行響應(yīng)處置的過程。對企業(yè)來說,由于業(yè)務(wù)需要,暴露面很難收斂,但是攻擊面卻可以實(shí)現(xiàn)收斂。

02基于PDCA方法的攻擊面管理流程

御安信息結(jié)合攻擊面管理方面的實(shí)踐經(jīng)驗(yàn),提出了基于PDCA方法的攻擊面管理流程,包括資產(chǎn)發(fā)現(xiàn)、資產(chǎn)管理、風(fēng)險評估、加固和收斂等環(huán)節(jié)。通過資產(chǎn)盤點(diǎn)、 脆弱性評估、滲透測試以及威脅情報等進(jìn)行攻擊面分析,并依據(jù)資產(chǎn)評分和優(yōu)先級完成風(fēng)險排序,在漏洞修復(fù)、補(bǔ)償措施、安全加固多方面實(shí)現(xiàn)攻擊面收斂。

03攻擊面管理的用途

攻擊面管理使組織能夠持續(xù)全面地發(fā)現(xiàn)、分析、監(jiān)控和評估內(nèi)外部資產(chǎn),發(fā)覺潛在安全風(fēng)險,可有效應(yīng)用于三類主要業(yè)務(wù)場景:

應(yīng)用場景1:企業(yè)自身安全

企業(yè)互聯(lián)網(wǎng)資產(chǎn)的邊界模糊以及未知資產(chǎn)不清晰,導(dǎo)致企業(yè)運(yùn)營成本巨大,無法實(shí)現(xiàn)安全管控,迫切需要攻擊面管理類型產(chǎn)品進(jìn)行安全建設(shè)。攻擊面管理平臺可以通過對資產(chǎn)的風(fēng)險分析,完成資產(chǎn)分級分類,幫助企業(yè)規(guī)避安全風(fēng)險,實(shí)現(xiàn)企業(yè)資產(chǎn)及其風(fēng)險的全方位管理。

應(yīng)用場景2:網(wǎng)絡(luò)安全保險核保

網(wǎng)絡(luò)安全風(fēng)險的不確定性,導(dǎo)致保險公司不愿承?;蛞笃髽I(yè)進(jìn)行一系列復(fù)雜的風(fēng)險評估。這成為網(wǎng)安險市場混亂、成本高昂的重要原因。而利用攻擊面作為網(wǎng)安險核保指標(biāo)是相對科學(xué)的方法,目前已經(jīng)獲得了多家保險公司的認(rèn)可。以攻擊面管理為基礎(chǔ)方法的企業(yè)安全評級,可通過非侵入式動態(tài)量化風(fēng)險評估系統(tǒng),為企業(yè)提供實(shí)時風(fēng)險評估分析數(shù)據(jù)及報告,幫助保險公司做出準(zhǔn)確判斷并作為保費(fèi)參考依據(jù),有效平衡雙方利益促進(jìn)網(wǎng)安險市場發(fā)展。

應(yīng)用場景3:行業(yè)安全監(jiān)管

由于行業(yè)監(jiān)管部門轄管的企業(yè)數(shù)量多、管理難度大,無法有效感知企業(yè)安全狀態(tài),往往缺乏管理措施。相較于傳統(tǒng)態(tài)勢感知高成本、難監(jiān)測的痛點(diǎn)。攻擊面管理具備投入低、覆蓋廣、準(zhǔn)確性高等優(yōu)勢,可強(qiáng)化互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理,深化網(wǎng)安態(tài)勢感知能力和屬地化網(wǎng)絡(luò)防護(hù)體系建設(shè),有效提高管理部門網(wǎng)絡(luò)安全威脅、事件、情報的監(jiān)測和發(fā)現(xiàn)能力,提升網(wǎng)絡(luò)綜合治理水平。

04某區(qū)政府攻擊面管理案例實(shí)踐

某區(qū)政府出具有效的激勵政策,要求區(qū)域內(nèi)生產(chǎn)對信息系統(tǒng)具有依賴性或有等保系統(tǒng)的企業(yè)購買網(wǎng)絡(luò)安全保險,御安信息為該區(qū)提供完善的網(wǎng)絡(luò)安全水平和事件趨勢報告,并支持網(wǎng)絡(luò)安全事件的應(yīng)急救援和善后賠付。

御安CiRMP平臺展示

應(yīng)用成效

企業(yè)在御安CiRMP攻擊面管理平臺投保,御安信息負(fù)責(zé)對這些企業(yè)開展快速的風(fēng)險評估,整改合格后保單生效,分配給合作的保險公司承保。

期間CiRMP平臺持續(xù)開展保中監(jiān)測和監(jiān)督工作,督促和保障企業(yè)提升網(wǎng)絡(luò)安全水平。

一旦出險,御安信息負(fù)責(zé)快速響應(yīng),提供救援和理賠,幫助企業(yè)盡快復(fù)工復(fù)產(chǎn),將損失降到最低。

平臺幫助地方政府獲取準(zhǔn)實(shí)時轄區(qū)內(nèi)企業(yè)信息系統(tǒng)的健康狀況、網(wǎng)絡(luò)安全事件等信息,并提供報表和報告。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )