提到 “關(guān)鍵資產(chǎn) ”，相信大家并不陌生，它是企業(yè) IT 基礎(chǔ)設(shè)施中對組織運作至關(guān)重要的技術(shù)資產(chǎn)。如果這些資產(chǎn)（如應(yīng)用服務(wù)器、數(shù)據(jù)庫或特權(quán)身份）出現(xiàn)問題，勢必會對企業(yè)安全態(tài)勢造成嚴重影響。

但每項技術(shù)資產(chǎn)都被視為關(guān)鍵業(yè)務(wù)資產(chǎn)嗎？你對關(guān)鍵業(yè)務(wù)資產(chǎn)的風(fēng)險真正了解多少？

關(guān)鍵業(yè)務(wù)資產(chǎn)指的是企業(yè)的基礎(chǔ)技術(shù)資產(chǎn)，而技術(shù)只是企業(yè)成功運營所需的三大支柱之一。為了實現(xiàn)完整的網(wǎng)絡(luò)安全治理，應(yīng)考慮以下因素： 1）技術(shù)；2）業(yè)務(wù)流程；3）關(guān)鍵人員。當(dāng)這 3 個支柱結(jié)合在一起時，才能真正了解到哪些是關(guān)鍵業(yè)務(wù)資產(chǎn)或?qū)ζ髽I(yè)成功運營至關(guān)重要的資產(chǎn)。

關(guān)注關(guān)鍵業(yè)務(wù)資產(chǎn)的重要性

如今，需要修復(fù)的問題實在是太多了——從 CVE 到錯誤配置，再到過度許可的身份等等，這些問題沒法全部解決。在這種情況下，“應(yīng)該首先把精力集中在哪里”是安全團隊最常提出的問題。由于沒有明確的方法來解決最重要的問題，也不知道真正重要的是什么，或者真正的業(yè)務(wù)影響是什么，他們往往采取“網(wǎng)絡(luò)安全噴灑和祈禱方法”。他們試圖解決所有問題，但這無疑是浪費時間、精力和資源。

幸運的是，Gartner 最近發(fā)布了一個新的框架，即持續(xù)威脅暴露管理框架（CTEM），該框架可以幫助安全團隊了解在哪些方面做得更好以及如何確定工作的優(yōu)先順序，其聲明如下： “CISO 必須考慮以下幾點： 與業(yè)務(wù)流程相關(guān)的......哪些是最關(guān)鍵、最易暴露的 IT 系統(tǒng)?！?/p>

這就是為什么專注于影響業(yè)務(wù)的問題至關(guān)重要，它幫助安全團隊工作變得更加高效和有效，確保更好地利用資源。

另外，CTEM 框架可以確保安全人員與公司高層領(lǐng)導(dǎo)最關(guān)心的問題保持一致，使得與業(yè)務(wù)目標(biāo)的溝通和對齊更加順暢。這證明了網(wǎng)絡(luò)安全不僅僅是保護企業(yè)的數(shù)字足跡，而是一個真正的業(yè)務(wù)推動者。它可以確保企業(yè)覆蓋并保護支撐最重要的業(yè)務(wù)流程的技術(shù)資產(chǎn)，保證與關(guān)鍵業(yè)務(wù)資產(chǎn)相關(guān)的風(fēng)險持續(xù)降低，同時獲得豐厚的投資回報。

如何保護關(guān)鍵業(yè)務(wù)資產(chǎn)

當(dāng)涉及到保護關(guān)鍵業(yè)務(wù)資產(chǎn)時，有4個關(guān)鍵步驟：

第1步：確定業(yè)務(wù)流程

我們都知道關(guān)注關(guān)鍵業(yè)務(wù)資產(chǎn)很重要，但如何才能判定哪些是真正的關(guān)鍵業(yè)務(wù)資產(chǎn)，哪些不是？

如果安全團隊沒有進行適當(dāng)?shù)臉I(yè)務(wù)風(fēng)險評估，那么確定最重要的業(yè)務(wù)流程可能具有挑戰(zhàn)性。風(fēng)險管理團隊提供的此類報告能幫助企業(yè)了解最重要的業(yè)務(wù)驅(qū)動因素，從而從最大的風(fēng)險領(lǐng)域入手。

假設(shè)安全團隊已經(jīng)有一段時間沒有進行風(fēng)險評估，或者從未進行過，要么進行風(fēng)險評估，要么使用“跟隨資金流向”的方法：

• 企業(yè)如何創(chuàng)收（資金流入），例如：銷售產(chǎn)品、服務(wù)等。
• 企業(yè)如何花錢（資金流出），例如：運營成本、市場營銷等方面的支出。

“跟隨資金流向”可以很好地幫助企業(yè)初步發(fā)現(xiàn)業(yè)務(wù)流程及其相關(guān)的底層技術(shù)。

第2步：將業(yè)務(wù)流程映射到技術(shù)資產(chǎn)

現(xiàn)在已經(jīng)對最重要的業(yè)務(wù)流程有了更深入的了解，可以開始將每個流程映射到底層技術(shù)資產(chǎn)上，包括應(yīng)用服務(wù)器、數(shù)據(jù)庫、安全文件存儲、特權(quán)身份等，這些都是企業(yè)的關(guān)鍵業(yè)務(wù)資產(chǎn)。

注意，最好將包含最敏感數(shù)據(jù)的文件存儲視為業(yè)務(wù)關(guān)鍵資產(chǎn)?？紤]好所有這些特定資產(chǎn)后，才能真正了解到哪些因素對企業(yè)的業(yè)務(wù)底線影響最大。

如果安全團隊使用的是 XM Cyber 這樣的解決方案，將自動獲得本地環(huán)境和云環(huán)境的技術(shù)資產(chǎn)報告。否則，可能需要通過 CMDB 資產(chǎn)管理工具、ITSM 解決方案、SIEM 解決方案來實現(xiàn)，或者將其記錄在普通的 Excel 電子表格中。

第3步：優(yōu)先級排序

正如前文所提到的，安全團隊不可能解決所有問題，這意味著必須對為確保業(yè)務(wù)安全而計劃開展的任何工作進行優(yōu)先排序。即使他們手中有所有寶貴資產(chǎn)的完整清單，仍然需要問自己：“最重要的前 3 - 5 個業(yè)務(wù)領(lǐng)域或流程是什么？”在這種情況下，應(yīng)該與風(fēng)險管理團隊密切合作，收集此類信息。

此外，企業(yè)的主要利益相關(guān)者也會提供重要信息。用 Gartner 的話來說，“制定與高層領(lǐng)導(dǎo)的優(yōu)先事項相一致的范圍是成功的關(guān)鍵”。因此，了解 C 級高管和董事會認為什么是 P1-“游戲結(jié)束”，什么是 P2-高影響，以及什么是他們認為的 P3-低影響非常重要。

第4步：實施安全措施

到目前為止，對公司的頂級關(guān)鍵業(yè)務(wù)資產(chǎn)了解的差不多了?，F(xiàn)在，安全團隊需要收集相關(guān)的安全發(fā)現(xiàn)并生成修復(fù)活動列表。但是，由于不可能修復(fù)所有內(nèi)容，從哪里開始并投入大量精力也需要仔細斟酌。

通常，可以先從漏洞管理解決方案或最近的 Pen 測試結(jié)果中收集相關(guān)輸出。它可以作為有關(guān) IT 基礎(chǔ)架構(gòu)內(nèi)風(fēng)險的寶貴信息，并將生成另一份修復(fù)活動列表，現(xiàn)在需要做的就是對其進行優(yōu)先排序，這仍然是一項艱巨的工作。

如果企業(yè)使用的是 XM Cyber 這樣的解決方案，將從場景框架中受益。

每個場景都會對特定范圍的關(guān)鍵業(yè)務(wù)資產(chǎn)進行連續(xù)攻擊模擬。例如，如果一個重要的業(yè)務(wù)流程是 “支付處理”，那么使用情景模擬就可以回答以下業(yè)務(wù)問題： “攻擊者是否有可能破壞支付處理業(yè)務(wù)流程？”每個場景的執(zhí)行都會產(chǎn)生一個風(fēng)險評分，其中包含針對所有關(guān)鍵業(yè)務(wù)資產(chǎn)的攻擊路徑結(jié)果。此外，還將獲得一份建議修復(fù)活動的優(yōu)先級列表，以獲得最高的投資回報率。

結(jié)論

安全團隊花費了大量時間詢問 “攻擊者是否有可能破壞支付處理業(yè)務(wù)流程 ”或 “我們是否充分保護了最敏感的客戶關(guān)系管理數(shù)據(jù)庫、文件存儲和管理員用戶 ”等問題。如果不了解對業(yè)務(wù)影響最大的因素，這樣的努力往往是徒勞的。

有了以上概述的方法，就可以摒棄那些會降低安全計劃有效性的 “噴灑”和 “祈禱”工作，開始真正解決對業(yè)務(wù)最重要的問題——不僅是技術(shù)方面，還有對核心業(yè)務(wù)關(guān)系的影響。

通過將重點放在關(guān)鍵業(yè)務(wù)資產(chǎn)上，安全團隊將大大提高工作效率。更進一步的是，安全團隊可以站在企業(yè)的首席執(zhí)行官和董事會的角度思考問題，將他們關(guān)心的問題作為自己的首要任務(wù)。這種協(xié)同作用將使溝通更加順暢，優(yōu)先事項更加一致，是企業(yè)成功運營的秘訣。

參考來源：https://thehackernews.com/2024/05/4-step-approach-to-mapping-and-securing.html