御安信息叶翔:漫谈攻击面管理——小缺口管理的大用途

导读:

近日,ISC 2023第十一届互联网安全大会上线数字小镇New50论坛,广邀行业知名企业家、学者、技术专家展开热点安全技术、行业趋势分享。开放首日,曝光量突破千万,在线人数逾百万!御安信息总经理叶翔受邀并发表《漫谈攻击面管理——小缺口管理的大用途》主题演讲。

01攻击面和攻击面管理

企业运行过程中存在众多暴露面,当暴露面可以被用来叠加攻击向量时,就会形成攻击面。攻击面是指组织中容易受到攻击和利用的系统元素集合包括软件、硬件、组网、人员等方面,它是攻击者对系统发起攻击的所有可利用入口点的总和。攻击面管理需要对内部、外部资产持续发现、分析、监控和评估以发现潜在暴露面、攻击向量和风险,并按照优先排序进行响应处置的过程。对企业来说,由于业务需要,暴露面很难收敛,但是攻击面却可以实现收敛。

02基于PDCA方法的攻击面管理流程

御安信息结合攻击面管理方面的实践经验,提出了基于PDCA方法的攻击面管理流程,包括资产发现、资产管理、风险评估、加固和收敛等环节。通过资产盘点、 脆弱性评估、渗透测试以及威胁情报等进行攻击面分析,并依据资产评分和优先级完成风险排序,在漏洞修复、补偿措施、安全加固多方面实现攻击面收敛。

03攻击面管理的用途

攻击面管理使组织能够持续全面地发现、分析、监控和评估内外部资产,发觉潜在安全风险,可有效应用于三类主要业务场景:

应用场景1:企业自身安全

企业互联网资产的边界模糊以及未知资产不清晰,导致企业运营成本巨大,无法实现安全管控,迫切需要攻击面管理类型产品进行安全建设。攻击面管理平台可以通过对资产的风险分析,完成资产分级分类,帮助企业规避安全风险,实现企业资产及其风险的全方位管理。

应用场景2:网络安全保险核保

网络安全风险的不确定性,导致保险公司不愿承保或要求企业进行一系列复杂的风险评估。这成为网安险市场混乱、成本高昂的重要原因。而利用攻击面作为网安险核保指标是相对科学的方法,目前已经获得了多家保险公司的认可。以攻击面管理为基础方法的企业安全评级,可通过非侵入式动态量化风险评估系统,为企业提供实时风险评估分析数据及报告,帮助保险公司做出准确判断并作为保费参考依据,有效平衡双方利益促进网安险市场发展。

应用场景3:行业安全监管

由于行业监管部门辖管的企业数量多、管理难度大,无法有效感知企业安全状态,往往缺乏管理措施。相较于传统态势感知高成本、难监测的痛点。攻击面管理具备投入低、覆盖广、准确性高等优势,可强化互联网网络安全威胁治理,深化网安态势感知能力和属地化网络防护体系建设,有效提高管理部门网络安全威胁、事件、情报的监测和发现能力,提升网络综合治理水平。

04某区政府攻击面管理案例实践

某区政府出具有效的激励政策,要求区域内生产对信息系统具有依赖性或有等保系统的企业购买网络安全保险,御安信息为该区提供完善的网络安全水平和事件趋势报告,并支持网络安全事件的应急救援和善后赔付。

御安CiRMP平台展示

应用成效

企业在御安CiRMP攻击面管理平台投保,御安信息负责对这些企业开展快速的风险评估,整改合格后保单生效,分配给合作的保险公司承保。

期间CiRMP平台持续开展保中监测和监督工作,督促和保障企业提升网络安全水平。

一旦出险,御安信息负责快速响应,提供救援和理赔,帮助企业尽快复工复产,将损失降到最低。

平台帮助地方政府获取准实时辖区内企业信息系统的健康状况、网络安全事件等信息,并提供报表和报告。

(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )