如果安全團隊意識到他們的資產(chǎn)清單不完整或已過時，他們應(yīng)該采取哪些首要步驟?

首要步驟是公開溝通這一問題，并向利益相關(guān)者警示與不準確清單相關(guān)的潛在風險。那種認為資產(chǎn)清單只是“一次性項目”的觀念已經(jīng)過時，需要轉(zhuǎn)變?yōu)榫S護一個包含業(yè)務(wù)上下文的持續(xù)更新的動態(tài)地圖。

從已有的可見性出發(fā)，如終端代理、云服務(wù)提供商、DNS記錄、采購系統(tǒng)，并開始關(guān)聯(lián)這些信息。隨后，引入不依賴于內(nèi)部文檔的被動和主動發(fā)現(xiàn)方法。如果這個過程尚未自動化，那么可以合理假設(shè)它已經(jīng)過時了。

從實際操作的角度來看，以下步驟可能有助于加強未來的資產(chǎn)發(fā)現(xiàn)工作：

啟動自動化發(fā)現(xiàn)流程：許多企業(yè)已經(jīng)擁有網(wǎng)絡(luò)掃描器、EDR代理或CMDBs等工具，然而，實施專門構(gòu)建的、持續(xù)的發(fā)現(xiàn)工具將通過提高可見性和上下文感知來提供額外的安全性。

定義清單的范圍和目標：從硬件和軟件到云資產(chǎn)，對需要包含在清單中的資產(chǎn)進行分類，以避免遺漏環(huán)境中的關(guān)鍵元素。

建立跨職能團隊：資產(chǎn)清單不僅僅是安全的責任，它是IT運營、網(wǎng)絡(luò)團隊、開發(fā)團隊甚至業(yè)務(wù)部門之間的協(xié)作，以確保所有資產(chǎn)都被識別并準確記錄，這將需要明確界定的角色和職責。

制定修復(fù)計劃：定義維護資產(chǎn)清單更新過程的步驟，包括時間表、責任方和使用的工具。

企業(yè)在發(fā)現(xiàn)本地、云和SaaS環(huán)境中的數(shù)字資產(chǎn)時，通常會面臨哪些最大的盲點?

最大的盲點并不是某個特定的資產(chǎn)，而是相信紙上所寫的就是實際在生產(chǎn)環(huán)境中運行的。許多企業(yè)往往只關(guān)注已知資產(chǎn)，這可能會產(chǎn)生一種虛假的安全感。

盲點并不總是由于惡意意圖造成的，而是由于分散的決策、被遺忘的基礎(chǔ)設(shè)施或尚未納入中央控制的新技術(shù)發(fā)展。

外部應(yīng)用程序、遺留技術(shù)和被遺棄的云基礎(chǔ)設(shè)施，如臨時測試環(huán)境，可能會在預(yù)期用途結(jié)束后很長時間內(nèi)仍然存在漏洞，這些資產(chǎn)構(gòu)成風險，特別是當它們因配置錯誤或權(quán)限設(shè)置過寬而意外暴露時。

第三方和供應(yīng)鏈集成帶來了另一層復(fù)雜性，盡管這些資產(chǎn)并非直接擁有，但它們?nèi)匀豢赡軐δ愕沫h(huán)境產(chǎn)生重大影響。如果供應(yīng)商受到損害，風險實際上會轉(zhuǎn)移到你身上。如果沒有自動化和持續(xù)驗證，很難相信紙上所寫的與實際情況相符。

在傳統(tǒng)的發(fā)現(xiàn)過程中，哪些類型的資產(chǎn)最容易被忽視?

傳統(tǒng)發(fā)現(xiàn)過程往往會遺漏那些在網(wǎng)絡(luò)邊界內(nèi)沒有留下清晰、可追蹤足跡的資產(chǎn)。這包括在活動或產(chǎn)品發(fā)布期間創(chuàng)建的子域名;未正式注冊或變更控制的公共API;第三方登錄門戶或與你的品牌和代碼倉庫相關(guān)的資產(chǎn)，或通過DNS暴露的配置錯誤的服務(wù)，這些資產(chǎn)位于邊緣，與企業(yè)相連但在傳統(tǒng)意義上并不屬于企業(yè)，這就是為什么它們?nèi)菀妆贿z漏，也容易被攻擊者發(fā)現(xiàn)。

資產(chǎn)發(fā)現(xiàn)應(yīng)如何與網(wǎng)絡(luò)安全堆棧的其他組件(如漏洞管理、威脅檢測和CMDBs)集成?

如果沒有準確且持續(xù)的發(fā)現(xiàn)過程，用于漏洞管理、威脅檢測甚至CMDBs的工具將基于不完整或過時的信息進行操作。

眾所周知，你無法修補你看不見的東西，更重要的是，如果你不知道應(yīng)該存在什么，你就無法檢測異常。資產(chǎn)發(fā)現(xiàn)有助于建立這一基準，它還在豐富和糾正CMDBs方面發(fā)揮著至關(guān)重要的作用，因為CMDBs經(jīng)常與生產(chǎn)環(huán)境中的實際情況不同步。

關(guān)鍵是將資產(chǎn)發(fā)現(xiàn)視為真相的來源，而不是審計的復(fù)選框，它驅(qū)動優(yōu)先級排序、響應(yīng)，甚至合規(guī)性。

你建議企業(yè)如何從風險或暴露的角度對發(fā)現(xiàn)的資產(chǎn)進行優(yōu)先級排序?

許多漏洞管理計劃嚴重依賴CVE計數(shù)或嚴重性評分，然而這種方法未能反映對業(yè)務(wù)的實際風險。僅僅識別出一個漏洞是不夠的，漏洞存在的上下文才是應(yīng)該驅(qū)動優(yōu)先級排序的關(guān)鍵。

例如，重要的是要詢問受影響的資產(chǎn)是否面向互聯(lián)網(wǎng)，是否支持關(guān)鍵業(yè)務(wù)功能，或者是否是供應(yīng)鏈或第三方集成的一部分。

還值得考慮的是，該資產(chǎn)是活躍使用還是處于休眠狀態(tài)，它是如何維護的，以及最終由誰擁有，這些細節(jié)有助于確定潛在泄露的可能性和影響。

最終，企業(yè)通過基于暴露和與關(guān)鍵操作的接近程度來優(yōu)先排序，而不是僅僅基于簽名掃描，將獲得更大的價值。風險不僅僅是關(guān)于什么容易受到攻擊;它是關(guān)于什么被暴露、可被利用以及對業(yè)務(wù)的重要性。