御安信息叶翔:漫谈攻击面管理——小缺口管理的大用途
日期:2023年08月23日 阅:102
近日,ISC 2023第十一届互联网安全大会上线数字小镇New50论坛,广邀行业知名企业家、学者、技术专家展开热点安全技术、行业趋势分享。开放首日,曝光量突破千万,在线人数逾百万!御安信息总经理叶翔受邀并发表《漫谈攻击面管理——小缺口管理的大用途》主题演讲。
01、攻击面和攻击面管理
企业运行过程中存在众多暴露面,当暴露面可以被用来叠加攻击向量时,就会形成攻击面。攻击面是指组织中容易受到攻击和利用的系统元素集合包括软件、硬件、组网、人员等方面,它是攻击者对系统发起攻击的所有可利用入口点的总和。攻击面管理需要对内部、外部资产持续发现、分析、监控和评估以发现潜在暴露面、攻击向量和风险,并按照优先排序进行响应处置的过程。对企业来说,由于业务需要,暴露面很难收敛,但是攻击面却可以实现收敛。
02、基于PDCA方法的攻击面管理流程
御安信息结合攻击面管理方面的实践经验,提出了基于PDCA方法的攻击面管理流程,包括资产发现、资产管理、风险评估、加固和收敛等环节。通过资产盘点、 脆弱性评估、渗透测试以及威胁情报等进行攻击面分析,并依据资产评分和优先级完成风险排序,在漏洞修复、补偿措施、安全加固多方面实现攻击面收敛。
03、攻击面管理的用途
应用场景1:企业自身安全
企业互联网资产的边界模糊以及未知资产不清晰,导致企业运营成本巨大,无法实现安全管控,迫切需要攻击面管理类型产品进行安全建设。攻击面管理平台可以通过对资产的风险分析,完成资产分级分类,帮助企业规避安全风险,实现企业资产及其风险的全方位管理。
应用场景2:网络安全保险核保
网络安全风险的不确定性,导致保险公司不愿承保或要求企业进行一系列复杂的风险评估。这成为网安险市场混乱、成本高昂的重要原因。而利用攻击面作为网安险核保指标是相对科学的方法,目前已经获得了多家保险公司的认可。以攻击面管理为基础方法的企业安全评级,可通过非侵入式动态量化风险评估系统,为企业提供实时风险评估分析数据及报告,帮助保险公司做出准确判断并作为保费参考依据,有效平衡双方利益促进网安险市场发展。
应用场景3:行业安全监管
由于行业监管部门辖管的企业数量多、管理难度大,无法有效感知企业安全状态,往往缺乏管理措施。相较于传统态势感知高成本、难监测的痛点。攻击面管理具备投入低、覆盖广、准确性高等优势,可强化互联网网络安全威胁治理,深化网安态势感知能力和属地化网络防护体系建设,有效提高管理部门网络安全威胁、事件、情报的监测和发现能力,提升网络综合治理水平。
04、某区政府攻击面管理案例实践
某区政府出具有效的激励政策,要求区域内生产对信息系统具有依赖性或有等保系统的企业购买网络安全保险,御安信息为该区提供完善的网络安全水平和事件趋势报告,并支持网络安全事件的应急救援和善后赔付。
应用成效
企业在御安CiRMP攻击面管理平台投保,御安信息负责对这些企业开展快速的风险评估,整改合格后保单生效,分配给合作的保险公司承保。
期间CiRMP平台持续开展保中监测和监督工作,督促和保障企业提升网络安全水平。
一旦出险,御安信息负责快速响应,提供救援和理赔,帮助企业尽快复工复产,将损失降到最低。
平台帮助地方政府获取准实时辖区内企业信息系统的健康状况、网络安全事件等信息,并提供报表和报告
浙江御安信息技术有限公司(简称:御安信息)是用户信赖的网络信息安全综合解决方案提供商、国家高新技术企业,聚焦数字资产安全风险动态治理,同时深入基础通信、算力网络、工业互联等新兴技术业务场景的融合应用,为企事业单位构建行业领先的数字资产安全风险动态治理体系,致力成为数字经济时代“安全引领者”,已为政府、通信、互联网、医疗、新能源等众多行业数百家企事业单位提供全方位的网络安全技术产品、解决方案和服务支持。