保护关键业务资产的四个步骤

提到 “关键资产 ”,相信大家并不陌生,它是企业 IT 基础设施中对组织运作至关重要的技术资产。如果这些资产(如应用服务器、数据库或特权身份)出现问题,势必会对企业安全态势造成严重影响。

但每项技术资产都被视为关键业务资产吗?你对关键业务资产的风险真正了解多少?

关键业务资产指的是企业的基础技术资产,而技术只是企业成功运营所需的三大支柱之一。为了实现完整的网络安全治理,应考虑以下因素: 1)技术;2)业务流程;3)关键人员。当这 3 个支柱结合在一起时,才能真正了解到哪些是关键业务资产或对企业成功运营至关重要的资产。

关注关键业务资产的重要性

如今,需要修复的问题实在是太多了——从 CVE 到错误配置,再到过度许可的身份等等,这些问题没法全部解决。在这种情况下,“应该首先把精力集中在哪里”是安全团队最常提出的问题。由于没有明确的方法来解决最重要的问题,也不知道真正重要的是什么,或者真正的业务影响是什么,他们往往采取“网络安全喷洒和祈祷方法”。他们试图解决所有问题,但这无疑是浪费时间、精力和资源。

幸运的是,Gartner 最近发布了一个新的框架,即持续威胁暴露管理框架(CTEM),该框架可以帮助安全团队了解在哪些方面做得更好以及如何确定工作的优先顺序,其声明如下: “CISO 必须考虑以下几点: 与业务流程相关的......哪些是最关键、最易暴露的 IT 系统。”

这就是为什么专注于影响业务的问题至关重要,它帮助安全团队工作变得更加高效和有效,确保更好地利用资源。

另外,CTEM 框架可以确保安全人员与公司高层领导最关心的问题保持一致,使得与业务目标的沟通和对齐更加顺畅。这证明了网络安全不仅仅是保护企业的数字足迹,而是一个真正的业务推动者。它可以确保企业覆盖并保护支撑最重要的业务流程的技术资产,保证与关键业务资产相关的风险持续降低,同时获得丰厚的投资回报。

如何保护关键业务资产

当涉及到保护关键业务资产时,有4个关键步骤:

第1步:确定业务流程

我们都知道关注关键业务资产很重要,但如何才能判定哪些是真正的关键业务资产,哪些不是?

如果安全团队没有进行适当的业务风险评估,那么确定最重要的业务流程可能具有挑战性。风险管理团队提供的此类报告能帮助企业了解最重要的业务驱动因素,从而从最大的风险领域入手。

假设安全团队已经有一段时间没有进行风险评估,或者从未进行过,要么进行风险评估,要么使用“跟随资金流向”的方法:

  • 企业如何创收(资金流入),例如:销售产品、服务等。
  • 企业如何花钱(资金流出),例如:运营成本、市场营销等方面的支出。

“跟随资金流向”可以很好地帮助企业初步发现业务流程及其相关的底层技术。

第2步:将业务流程映射到技术资产

现在已经对最重要的业务流程有了更深入的了解,可以开始将每个流程映射到底层技术资产上,包括应用服务器、数据库、安全文件存储、特权身份等,这些都是企业的关键业务资产。

注意,最好将包含最敏感数据的文件存储视为业务关键资产。考虑好所有这些特定资产后,才能真正了解到哪些因素对企业的业务底线影响最大。

如果安全团队使用的是 XM Cyber 这样的解决方案,将自动获得本地环境和云环境的技术资产报告。否则,可能需要通过 CMDB 资产管理工具、ITSM 解决方案、SIEM 解决方案来实现,或者将其记录在普通的 Excel 电子表格中。

第3步:优先级排序

正如前文所提到的,安全团队不可能解决所有问题,这意味着必须对为确保业务安全而计划开展的任何工作进行优先排序。即使他们手中有所有宝贵资产的完整清单,仍然需要问自己:“最重要的前 3 - 5 个业务领域或流程是什么?”在这种情况下,应该与风险管理团队密切合作,收集此类信息。

此外,企业的主要利益相关者也会提供重要信息。用 Gartner 的话来说,“制定与高层领导的优先事项相一致的范围是成功的关键”。因此,了解 C 级高管和董事会认为什么是 P1-“游戏结束”,什么是 P2-高影响,以及什么是他们认为的 P3-低影响非常重要。

第4步:实施安全措施

到目前为止,对公司的顶级关键业务资产了解的差不多了。现在,安全团队需要收集相关的安全发现并生成修复活动列表。但是,由于不可能修复所有内容,从哪里开始并投入大量精力也需要仔细斟酌。

通常,可以先从漏洞管理解决方案或最近的 Pen 测试结果中收集相关输出。它可以作为有关 IT 基础架构内风险的宝贵信息,并将生成另一份修复活动列表,现在需要做的就是对其进行优先排序,这仍然是一项艰巨的工作。

如果企业使用的是 XM Cyber 这样的解决方案,将从场景框架中受益。

每个场景都会对特定范围的关键业务资产进行连续攻击模拟。例如,如果一个重要的业务流程是 “支付处理”,那么使用情景模拟就可以回答以下业务问题: “攻击者是否有可能破坏支付处理业务流程?”每个场景的执行都会产生一个风险评分,其中包含针对所有关键业务资产的攻击路径结果。此外,还将获得一份建议修复活动的优先级列表,以获得最高的投资回报率。

结论

安全团队花费了大量时间询问 “攻击者是否有可能破坏支付处理业务流程 ”或 “我们是否充分保护了最敏感的客户关系管理数据库、文件存储和管理员用户 ”等问题。如果不了解对业务影响最大的因素,这样的努力往往是徒劳的。

有了以上概述的方法,就可以摒弃那些会降低安全计划有效性的 “喷洒”和 “祈祷”工作,开始真正解决对业务最重要的问题——不仅是技术方面,还有对核心业务关系的影响。

通过将重点放在关键业务资产上,安全团队将大大提高工作效率。更进一步的是,安全团队可以站在企业的首席执行官和董事会的角度思考问题,将他们关心的问题作为自己的首要任务。这种协同作用将使沟通更加顺畅,优先事项更加一致,是企业成功运营的秘诀。

参考来源:

https://thehackernews.com/2024/05/4-step-approach-to-mapping-and-securing.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/341698.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2024年大屏幕互动源码+动态背景图和配乐素材+搭建教程

2024年大屏幕互动源码动态背景图和配乐素材搭建教程 php宝塔搭建部署活动现场大屏幕互动系统php源码 运行环境:PHPMYSQL 下载源码地址:极速云

[AI资讯·0605] GLM-4系列开源模型,OpenAI安全疑云,ARM推出终端计算子系统,猿辅导大模型备案……

AI资讯 1毛钱1百万token,写2遍红楼梦!国产大模型下一步还想卷什么?AI「末日」突然来临,公司同事集体变蠢!只因四大聊天机器人同时宕机OpenAI员工们开始反抗了!AI手机PC大爆发,Arm从软硬件到生态…

React + Taro 项目 实际书写 感受

之前我总结了部分react 基础 根据官网的内容 以及Taro 框架的内容 今天我试着开始写了一下页面和开发 说一下我的感受 我之前写的是vue3 今天是第一次真正根据需求做页面开发 和逻辑功能 代码的书写 主体就是开发了这个页面 虽说这个页面 很简单 但是如果你要是第一次写 难说…

【设计模式】结构型-组合模式

前言 在软件开发中,设计模式是一种被广泛应用的解决问题的方法论。其中,结构性设计模式是一类特别重要的模式,它们用于处理类或对象之间的组合关系,其中之一就是组合模式。组合模式允许客户端统一对待单个对象和对象的组合&#…

使用cesiumLab使shp转为3dtlies

过程不做赘述,网上大把,说下注意事项。 1. 存储3DTiles 选项 若是打开则输出的文件为glb格式文件,因为glb文件好储存易传输跨平台。cesium可以使用但无法处理,例如改变颜色,改着色器等。若是不打开则输出的文件为bm3d格式文件,此…

二叉树—堆(C语言实现)

一、树的概念及结构 1.树的概念 树是一种非线性的数据结构,它是有n(n > 0)个有限结点组成一个具有层次关系的集合。把它叫做树是因为它看起来像一颗倒挂的树,也就是说它是根朝上,而叶朝下。 ● 有一个特殊的结点…

C++设计模式-单例模式,反汇编

文章目录 25. 单例模式25.1. 饿汉式单例模式25.2. 懒汉式单例模式25.2.1. 解决方案125.2.2. 解决方案2 (推荐写法) 运行在VS2022,x86,Debug下。 25. 单例模式 单例即该类只能有一个实例。 应用:如在游戏开发中&#x…

搭建大型分布式服务(三十九)SpringBoot 整合多个kafka数据源-支持Aware模式

系列文章目录 文章目录 系列文章目录前言一、本文要点二、开发环境三、原项目四、修改项目五、测试一下五、小结 前言 本插件稳定运行上百个kafka项目&#xff0c;每天处理上亿级的数据的精简小插件&#xff0c;快速上手。 <dependency><groupId>io.github.vipjo…

算法第三天力扣第69题:X的平方根

69. x 的平方根 (可点击下面链接或复制网址进行做题) https://leetcode.cn/problems/sqrtx/https://leetcode.cn/problems/sqrtx/ 给你一个非负整数 x &#xff0c;计算并返回 x 的 算术平方根 。 由于返回类型是整数&#xff0c;结果只保留 整数部分 &#xff0c;小数部分将被…

SpringBoot的第二大核心AOP系统梳理

目录 1 事务管理 1.1 事务 1.2 Transactional注解 1.2.1 rollbackFor 1.2.2 propagation 2 AOP 基础 2.1 AOP入门 2.2 AOP核心概念 3. AOP进阶 3.1 通知类型 3.2 通知顺序 3.3 切入点表达式 execution切入点表达式 annotion注解 3.4 连接点 1 事务管理 1.1 事务…

【踏雪无痕的痕六】——数学中有意思的问题

一、背景介绍 提出一个问题往往比解决一个问题更有意义&#xff0c;因为提出一个问题相当于提出了一个思考问题的维度&#xff1b;而解决一个问题是沿着这个维度将已有的知识串起来的过程 三、过程 1.数人数你会吗&#xff1f; 小名再第10位&#xff0c;小李再第15位&#…

【源码】Spring Data JPA原理解析之Repository自定义方法命名规则执行原理(二)

Spring Data JPA系列 1、SpringBoot集成JPA及基本使用 2、Spring Data JPA Criteria查询、部分字段查询 3、Spring Data JPA数据批量插入、批量更新真的用对了吗 4、Spring Data JPA的一对一、LazyInitializationException异常、一对多、多对多操作 5、Spring Data JPA自定…

位运算算法

位运算是计算机中常用的一种运算方法&#xff0c;它直接对二进制数的位进行操作。位运算主要包括按位与&#xff08;&&#xff09;、按位或&#xff08;|&#xff09;、按位异或&#xff08;^&#xff09;、按位取反&#xff08;~&#xff09;、左移&#xff08;<<&a…

【云原生】Kubernetes----Ingress对外服务

目录 引言 一、K8S对外方式 &#xff08;一&#xff09;NodePort 1.作用 2.弊端 3.示例 &#xff08;二&#xff09;externalIPs 1.作用 2.弊端 3.示例 &#xff08;三&#xff09;LoadBalancer 1.作用 2.弊端 &#xff08;四&#xff09;Ingress 二、Ingress的…

ChatGPT-4o抢先体验

速度很快&#xff0c;结果很智能&#xff0c;支持多模态输入输出&#xff0c;感兴趣联系作者。 windows/linux/mac 客户端下载参考&#xff1a;https://github.com/lencx/Noi

dns域名解析服务和bond网卡

目录 dns域名解析服务 一、DNS 1、定义 2、以www.baidu.com为例 3、域名体系结构 4、DNS解析使用的协议和端口 5、dns域名解析的过程 6、dns解析的优先级 二、如何实现域名解析 1、域名解析 2、bind配置文件位置 &#xff08;一&#xff09;正向解析 &#xff08;…

IP协议1.0

基本概念&#xff1a; • 主机: 配有IP地址, 但是不进⾏路由控制的设备; • 路由器: 即配有IP地址, ⼜能进⾏路由控制; • 节点: 主机和路由器的统称; IP协议的报头 • 4位版本号(version): 指定IP协议的版本, 对于IPv4来说, 就是4. • 4位头部⻓度(header length): IP头部的⻓…

高并发系统限流原理

短时间内巨大的访问流量&#xff0c;我们如何让系统在处理高并发的同时还能保证自身系统的稳定性&#xff1f;估计有人会说&#xff0c;增加机器就可以了&#xff0c;因为我的系统架构设计就是按照分布式思想进行架构设计的&#xff0c;所以可以只需要增加机器就可以解决问题了…

计算机组成原理·考点知识点整理

根据往年考试题&#xff0c;对考点和知识点的一个整理。 校验编码 码距 一种编码的最小码距&#xff0c;其实就是指这种编码的码距。码距有两种定义&#xff1a; 码距所描述的对象含义 2 2 2 个特定的码其二进制表示中不同位的个数一种编码这种编码中任意 2 2 2 个合法编码的…

QT+FFmpeg+Windows开发环境搭建(加薪点)

01、Windows 环境搭建 FFMPEG官网:http://ffmpeg.org/ 02、下载4.2.1版本源码 源码:https://ffmpeg.org/releases/ffmpeg-4.2.1.tar.bz2 03、下载4.2.1编译好的文件 下载已经编译好的FFMPEG)(迅雷下载很快) 网址:https://ffmpeg.zeranoe.com/builds/ 32位下载地址:(迅雷…