随着大型企业安全架构的逐年升级和完善,网络安全工作逐渐进入深度化、运营化的阶段,风险管理在安全工作中的重要性愈加突出。面对日益严峻的网络安全态势,国家行业主管部门提出需要高度重视“两高一弱”的问题。具体来说,需要高度关注高危漏洞和高危端口(“两高”)以及弱口令(“一弱”),加强防火墙和安全软件管理,合理分配员工权限,升级多层次的密码保护,加强软件和设备防护,防止黑客入侵业务系统。
但当下,大型企业在实施“两高一弱”的治理时,普遍要应对多个技术难题:
资产底数不清
由于当下大型企业分支机构多、IT环境多样化、资产类型多元化,导致大型企业无法全面了解其归属范围内的资产详情;而资产识别又高度依赖工具的指纹能力,没有持续投入建设的情况下,无法准确识别资产详情。
风险识别不准
2023年,CVE共收录29065个漏洞,其中仅1667个具备利用代码,“误报”给安全部门带来大量干扰。由于对真实风险识别的能力不足,导致排查措施的识别能力、覆盖能力和验证能力都不足以支撑有效的排查需求。
总体来说,建立一套具备实战能力的风险治理长效机制,已刻不容缓。
在基础准备阶段完成组织结构、资产范围、重点业务目标等关键范围的界定,并结合企业自身情况创建风险暴露管理目标集合,明确各类风险清单。
明确企业内的组织架构,业务优先级和重点资产范围。同时梳理业务关系,对现有的重点资产进行分析,定义业务关键安全指标,关联相关的软硬件成分,初次研判可能存在的高风险问题、历史风险问题、历史遗留问题及可能导致的损害。
通过长亭云图 (Cloud Atlas) 攻击面管理运营平台,以种子关联的方式全面获取企业资产信息。包括但不限于:企业主体、域名WHOIS、证书信息、邮箱域名、企业关键词、对外端口服务、IP清单、服务组件、网站应用等信息。
利用云图 (Cloud Atlas) 精准的指纹识别能力,持续监控外部资产暴露情况,掌握上下线与变更情况。主动发现边缘资产、影子资产、高仿资产等信息。
建立专有的应用和漏洞知识库:梳理出清单内漏洞的名称、原理、影响产品、描述、版本、危害、修复建议、POC等信息,同时区分漏洞的作用范围,判断属于互联网安全漏洞还是内网安全漏洞。在此基础上,判断哪些漏洞可以基于企业内现有的工具或者通过外部供应商安全服务来实现检测,哪些需要人工干预,手动验证等。
在暴露面发现阶段,制定周期性和应急暴露面发现计划,并持续实施内外部风险识别;在获取到结果后,以可见性、可利用性等衡量指标进行风险排序并持续验证。
在计划时间内,结合企业内互联网资产和内网资产,持续性识别内外部暴露面风险、内外部高危漏洞风险、内外部弱口令等信息,并输出相关的风险清单。
针对互联网资产风险排查,使用长亭云图(Cloud Atlas)对外部边界资产统一纳管,保障资产信息记录没有遗漏(主动运营|系统辅助),采用以POC为核心的漏洞探测技术,进行互联网资产漏洞发现。
针对企业内网,根据现有情况制定重点高危漏洞策略、高危弱口令策略、高危应用风险清单和高危端口服务清单。评估企业内关键参数,如高危端口取值、弱口令字典、资产允许探测频率、可探测资产及可探测时间等信息。
长亭洞鉴(X-Ray)安全评估系统可完成内网全域风险发现策略覆盖:
借助洞鉴(X-Ray)自身的资产发现能力,结合外界传入的资产,整合、关联和统计分析企业资产碎化信息;深入探测企业已知资产,更多覆盖企业未知资产,结合企业资产完整度、重要性及风险程度,从不同维度对企业资产进行空间测绘和数据分析。
在资产管理上,实现每个资产与实际的负责人关联,从业务视角划分问题区域、进行业务切割处理,最终做到资产有据可寻、有人可查、风险运维工作可量化、风险闭环管理。
通过“工具+人工”的方式进行风险核验,经验证存在确切问题的,转企业内自动化处置工单系统或通过内部通讯工具,要求资产责任人在规定时间内进行处置。在资产责任人完成问题修复后,进行问题二次复测及验证。整个工单流转过程/问题处置过程需要记录在册。资产责任人完成风险修复后,输出相应的修复过程和结果。
经工作小组整理后,结合前期数据输出成漏洞详情、漏洞修复指导、复测验证数据及报告整理,并最终归纳整理形成企业内知识库。长亭鉴微(Insight)风险分析与运营管理平台,可实现“两高一弱”风险运营执行情况的统一展示。
查看长亭“两高一弱”排查完整版方案,请“阅读原文”。
如有侵权请联系:admin#unsafe.sh