導讀:

近日,ISC 2023第十一屆互聯(lián)網(wǎng)安全大會上線數(shù)字小鎮(zhèn)New50論壇,廣邀行業(yè)知名企業(yè)家、學者、技術(shù)專家展開熱點安全技術(shù)、行業(yè)趨勢分享。開放首日,曝光量突破千萬,在線人數(shù)逾百萬!御安信息總經(jīng)理葉翔受邀并發(fā)表《漫談攻擊面管理——小缺口管理的大用途》主題演講。

01攻擊面和攻擊面管理

企業(yè)運行過程中存在眾多暴露面,當暴露面可以被用來疊加攻擊向量時,就會形成攻擊面。攻擊面是指組織中容易受到攻擊和利用的系統(tǒng)元素集合包括軟件、硬件、組網(wǎng)、人員等方面,它是攻擊者對系統(tǒng)發(fā)起攻擊的所有可利用入口點的總和。攻擊面管理需要對內(nèi)部、外部資產(chǎn)持續(xù)發(fā)現(xiàn)、分析、監(jiān)控和評估以發(fā)現(xiàn)潛在暴露面、攻擊向量和風險,并按照優(yōu)先排序進行響應(yīng)處置的過程。對企業(yè)來說,由于業(yè)務(wù)需要,暴露面很難收斂,但是攻擊面卻可以實現(xiàn)收斂。

02基于PDCA方法的攻擊面管理流程

御安信息結(jié)合攻擊面管理方面的實踐經(jīng)驗,提出了基于PDCA方法的攻擊面管理流程,包括資產(chǎn)發(fā)現(xiàn)、資產(chǎn)管理、風險評估、加固和收斂等環(huán)節(jié)。通過資產(chǎn)盤點、 脆弱性評估、滲透測試以及威脅情報等進行攻擊面分析,并依據(jù)資產(chǎn)評分和優(yōu)先級完成風險排序,在漏洞修復、補償措施、安全加固多方面實現(xiàn)攻擊面收斂。

03攻擊面管理的用途

攻擊面管理使組織能夠持續(xù)全面地發(fā)現(xiàn)、分析、監(jiān)控和評估內(nèi)外部資產(chǎn),發(fā)覺潛在安全風險,可有效應(yīng)用于三類主要業(yè)務(wù)場景:

應(yīng)用場景1:企業(yè)自身安全

企業(yè)互聯(lián)網(wǎng)資產(chǎn)的邊界模糊以及未知資產(chǎn)不清晰,導致企業(yè)運營成本巨大,無法實現(xiàn)安全管控,迫切需要攻擊面管理類型產(chǎn)品進行安全建設(shè)。攻擊面管理平臺可以通過對資產(chǎn)的風險分析,完成資產(chǎn)分級分類,幫助企業(yè)規(guī)避安全風險,實現(xiàn)企業(yè)資產(chǎn)及其風險的全方位管理。

應(yīng)用場景2:網(wǎng)絡(luò)安全保險核保

網(wǎng)絡(luò)安全風險的不確定性,導致保險公司不愿承?；蛞笃髽I(yè)進行一系列復雜的風險評估。這成為網(wǎng)安險市場混亂、成本高昂的重要原因。而利用攻擊面作為網(wǎng)安險核保指標是相對科學的方法,目前已經(jīng)獲得了多家保險公司的認可。以攻擊面管理為基礎(chǔ)方法的企業(yè)安全評級,可通過非侵入式動態(tài)量化風險評估系統(tǒng),為企業(yè)提供實時風險評估分析數(shù)據(jù)及報告,幫助保險公司做出準確判斷并作為保費參考依據(jù),有效平衡雙方利益促進網(wǎng)安險市場發(fā)展。

應(yīng)用場景3:行業(yè)安全監(jiān)管

由于行業(yè)監(jiān)管部門轄管的企業(yè)數(shù)量多、管理難度大,無法有效感知企業(yè)安全狀態(tài),往往缺乏管理措施。相較于傳統(tǒng)態(tài)勢感知高成本、難監(jiān)測的痛點。攻擊面管理具備投入低、覆蓋廣、準確性高等優(yōu)勢,可強化互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理,深化網(wǎng)安態(tài)勢感知能力和屬地化網(wǎng)絡(luò)防護體系建設(shè),有效提高管理部門網(wǎng)絡(luò)安全威脅、事件、情報的監(jiān)測和發(fā)現(xiàn)能力,提升網(wǎng)絡(luò)綜合治理水平。

04某區(qū)政府攻擊面管理案例實踐

某區(qū)政府出具有效的激勵政策,要求區(qū)域內(nèi)生產(chǎn)對信息系統(tǒng)具有依賴性或有等保系統(tǒng)的企業(yè)購買網(wǎng)絡(luò)安全保險,御安信息為該區(qū)提供完善的網(wǎng)絡(luò)安全水平和事件趨勢報告,并支持網(wǎng)絡(luò)安全事件的應(yīng)急救援和善后賠付。

御安CiRMP平臺展示

應(yīng)用成效

企業(yè)在御安CiRMP攻擊面管理平臺投保,御安信息負責對這些企業(yè)開展快速的風險評估,整改合格后保單生效,分配給合作的保險公司承保。

期間CiRMP平臺持續(xù)開展保中監(jiān)測和監(jiān)督工作,督促和保障企業(yè)提升網(wǎng)絡(luò)安全水平。

一旦出險,御安信息負責快速響應(yīng),提供救援和理賠,幫助企業(yè)盡快復工復產(chǎn),將損失降到最低。

平臺幫助地方政府獲取準實時轄區(qū)內(nèi)企業(yè)信息系統(tǒng)的健康狀況、網(wǎng)絡(luò)安全事件等信息,并提供報表和報告。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）