随着向远程工作和数字化转型的转变,传统的攻击面管理概念是如何演变的?与几年前相比,首席信息安全官今天面临的最大挑战是什么?
组织应该开始忘记旧的基于边界的安全方法。事实上,办公室工作和远程工作已经没有区别了。没有内外之分,只有外在。现在需要保护的是不断增长的、动态的、杂乱无章的端点、云服务和第三方应用程序,它们构成了外部攻击面。
毫无疑问,首席信息安全官如今面临着许多与攻击面扩展相关的挑战。他们一直在努力保持可见性,跟上现代(快速发展的)技术变化,新的攻击媒介,并保持在不断增长的合规性和监管浪潮(如NIS2、DORA或欧洲的网络弹性法案)的前列。此外,他们需要在有限的资源和不断增加的压力下完成所有这些工作,以带来业务价值。
传统的攻击面管理通常需要帮助处理不完整和过时的库存。组织应该采用什么策略和工具来确保其全面和最新的资产清单?
越来越多的组织采用多个云提供商,从而扩大和分散其攻击面。没有持续映射和评估的库存使得未知资产中的数字暴露和与域相关的漏洞(如子域接管或服务器错误配置)更容易被忽视。手动清单通常要么过时要么不完整,很少反映攻击面的当前状态。
攻击者很清楚总会有一个薄弱环节,所以最好的策略是立即识别并密切监控所有面向互联网的资产的变化。自动和持续的扫描将帮助您的团队了解攻击面中除了漏洞和问题之外的变化,以及该变化是否会带来风险,即使它只是一个IP、一个端口或一个云提供商。最好的工具还将授权安全团队,允许他们设置自己的策略来定义哪些更改应该被视为风险。
实时监控和自动化有多重要?首席信息安全官如何利用这些工具来减少手工工作并改进安全结果?
建议首席信息安全官寻找能够真正帮助他们的团队以最有效的方式完成工作的工具,从简化攻击面发现(实时、连续的资产映射)到产生最准确、最严格的评估(怎么强调都不够),最后将发现无缝地集成到现有的工作流程中,以快速修复和减少手工工作。当团队不能相信他们的发现,不得不寻找假阳性时,就会浪费本可以用来解决实际风险或产生业务价值的宝贵时间。
首席信息安全官应该关注哪些指标来衡量其攻击面管理策略的有效性?
有效性不是通过计算固定漏洞的总数来衡量的。假装让安全团队解决每个出现在他们面前的漏洞是不现实和低效的,特别是考虑到在许多组织的系统中没有相关的攻击路径。
ciso应该根据他们独特的业务环境来定义他们的风险,并专注于解决那些对他们的组织真正重要的事件和破坏。查看这些相关问题的检测和补救时间也可能是有用的和有见地的。评估工作是否与遵从性需求和审计结果保持一致,也是攻击面管理策略和工具有效性的良好指示器。
随着许多组织依赖第三方供应商和云计算服务提供商,首席信息安全官如何管理和减轻与第三方合作伙伴关系及其带来的扩展攻击面相关的风险?
首席信息安全官痛苦地意识到,数字化努力和现代技术堆栈意味着混合云和大型第三方依赖,这使得拍摄无缝隙攻击面图片的任务非常艰巨。为了降低这些风险,他们应该寻找能够带来自动和实时可见性的工具,并能够管理跨多个云提供商托管的资产中的问题。一定程度的风险敞口总是可以确定的,但由首席信息安全官来决定什么风险是过度风险。可接受的风险总是因行业和数字成熟度的不同而不同。