在这次Help Net Security采访中,Detectify首席执行官Rickard Carlsson讨论了远程工作和数字化转型背景下攻击表面管理的演变。
Carlsson强调了CISO今天面临的挑战,包括在不断扩大的攻击表面保持可见性和管理合规性,同时应对有限的资源和不断上升的业务需求。
随着向远程工作和数字化转型的转变,攻击表面管理的传统概念是如何演变的?与几年前相比,CISO今天面临的最大挑战是什么?
组织应该开始忘记旧的基于边界的安全方法。办公室工作和远程工作之间几乎没有区别了。没有内部和外部,只有外部。现在需要保护的是不断增长、动态和蔓延的端点、云服务和第三方应用程序的混乱,这些端点、云服务和第三方应用程序构成了外部攻击表面。
难怪CISO今天面临许多与攻击表面扩张相关的挑战。他们不断努力保持知名度,跟上现代(和快速发展的)技术变化,新的攻击载体,并保持日益增长的合规和监管浪潮(如NIS2、DORA或欧洲的网络弹性法案)。此外,他们需要在有限的资源和越来越大的压力下完成这一切,以带来商业价值。
传统的攻击表面管理通常需要不完整和过时的库存方面的帮助。组织应该采用哪些策略和工具来确保其全面和最新的资产库存?
越来越多的趋势是,组织采用多个云提供商,从而扩大和分散其攻击表面。不持续映射和评估的库存使未知资产中的数字暴露和域相关漏洞(如子域接管或服务器配置错误)更容易被注意到。手动库存通常要么过时,要么不完整,很少反映攻击面的当前状态。
攻击者很清楚,总是有一个薄弱环节,因此最好的策略是立即识别并密切监控所有面向互联网的资产的变化。自动和持续扫描将帮助您的团队了解除了漏洞和问题外,攻击表面发生了什么变化,以及这种变化是否构成风险,即使它只是IP、端口或云提供商。最好的工具还将通过允许安全团队设置自己的政策来定义哪些更改应该被视为风险来增强他们的能力。
实时监控和自动化有多重要?CISO如何利用这些工具来减少人工工作并改善安全结果?
我建议CISO研究能够真正帮助他们的团队以最有效的方式完成工作的工具,从简化攻击表面发现(通过实时、连续的资产映射)到产生最准确和最严格的评估(这一点怎么强调都不为过),最后将发现无缝集成到现有工作流程中,以快速补救和减少人工工作。当团队无法相信他们的发现,不得不寻找误报时,本可以花在解决实际风险或创造商业价值上的宝贵时间被浪费了。
CISO应该关注哪些指标来衡量其攻击表面管理策略的有效性?
有效性不是通过计算总固定漏洞来衡量的。假装让安全团队解决遇到的每个漏洞是不现实的,也是低效的,特别是考虑到许多CVE在许多组织的系统中没有相关的攻击路径。
CISO应根据其独特的业务环境来定义其风险,并专注于解决那些对其组织实际重要的事件和违规行为。观察这些相关问题的检测和补救时间也是有用和有见地的。评估努力是否跟上了合规要求和审计结果,也是攻击表面管理策略和工具有效性的良好指标。
由于许多组织依赖第三方供应商和云服务提供商,CISO如何管理和减轻与第三方合作伙伴关系及其带来的扩展攻击表面相关的风险?
CISO痛苦地意识到,数字化努力和现代技术堆栈意味着混合云和大规模的第三方依赖,这使得拍摄无间隙攻击表面画面的任务非常令人生畏。在减轻这些风险时,他们应该研究能够带来自动和实时可见性的工具,以及管理跨多个云提供商托管的资产问题的能力。一定程度的暴露总是可以保证的,但由CISO来确定什么风险是太大的风险。可接受的风险总是因行业和数字成熟度而异。
来源:helpnetsecurity
暂无评论内容