保护关键业务资产的四个步骤

提到 “关键资产 ”,相信大家并不陌生,它是企业 IT 基础设施中对组织运作至关重要的技术资产。如果这些资产(如应用服务器、数据库或特权身份)出现问题,势必会对企业安全态势造成严重影响。

但每项技术资产都被视为关键业务资产吗?你对关键业务资产的风险真正了解多少?

关键业务资产指的是企业的基础技术资产,而技术只是企业成功运营所需的三大支柱之一。为了实现完整的网络安全治理,应考虑以下因素: 1)技术;2)业务流程;3)关键人员。当这 3 个支柱结合在一起时,才能真正了解到哪些是关键业务资产或对企业成功运营至关重要的资产。

关注关键业务资产的重要性

如今,需要修复的问题实在是太多了——从 CVE 到错误配置,再到过度许可的身份等等,这些问题没法全部解决。在这种情况下,“应该首先把精力集中在哪里”是安全团队最常提出的问题。由于没有明确的方法来解决最重要的问题,也不知道真正重要的是什么,或者真正的业务影响是什么,他们往往采取“网络安全喷洒和祈祷方法”。他们试图解决所有问题,但这无疑是浪费时间、精力和资源。

幸运的是,Gartner 最近发布了一个新的框架,即持续威胁暴露管理框架(CTEM),该框架可以帮助安全团队了解在哪些方面做得更好以及如何确定工作的优先顺序,其声明如下: “CISO 必须考虑以下几点: 与业务流程相关的......哪些是最关键、最易暴露的 IT 系统。”

这就是为什么专注于影响业务的问题至关重要,它帮助安全团队工作变得更加高效和有效,确保更好地利用资源。

另外,CTEM 框架可以确保安全人员与公司高层领导最关心的问题保持一致,使得与业务目标的沟通和对齐更加顺畅。这证明了网络安全不仅仅是保护企业的数字足迹,而是一个真正的业务推动者。它可以确保企业覆盖并保护支撑最重要的业务流程的技术资产,保证与关键业务资产相关的风险持续降低,同时获得丰厚的投资回报。

如何保护关键业务资产

当涉及到保护关键业务资产时,有4个关键步骤:

第1步:确定业务流程

我们都知道关注关键业务资产很重要,但如何才能判定哪些是真正的关键业务资产,哪些不是?

如果安全团队没有进行适当的业务风险评估,那么确定最重要的业务流程可能具有挑战性。风险管理团队提供的此类报告能帮助企业了解最重要的业务驱动因素,从而从最大的风险领域入手。

假设安全团队已经有一段时间没有进行风险评估,或者从未进行过,要么进行风险评估,要么使用“跟随资金流向”的方法:

  • 企业如何创收(资金流入),例如:销售产品、服务等。
  • 企业如何花钱(资金流出),例如:运营成本、市场营销等方面的支出。

“跟随资金流向”可以很好地帮助企业初步发现业务流程及其相关的底层技术。

第2步:将业务流程映射到技术资产

现在已经对最重要的业务流程有了更深入的了解,可以开始将每个流程映射到底层技术资产上,包括应用服务器、数据库、安全文件存储、特权身份等,这些都是企业的关键业务资产。

注意,最好将包含最敏感数据的文件存储视为业务关键资产。考虑好所有这些特定资产后,才能真正了解到哪些因素对企业的业务底线影响最大。

如果安全团队使用的是 XM Cyber 这样的解决方案,将自动获得本地环境和云环境的技术资产报告。否则,可能需要通过 CMDB 资产管理工具、ITSM 解决方案、SIEM 解决方案来实现,或者将其记录在普通的 Excel 电子表格中。

第3步:优先级排序

正如前文所提到的,安全团队不可能解决所有问题,这意味着必须对为确保业务安全而计划开展的任何工作进行优先排序。即使他们手中有所有宝贵资产的完整清单,仍然需要问自己:“最重要的前 3 - 5 个业务领域或流程是什么?”在这种情况下,应该与风险管理团队密切合作,收集此类信息。

此外,企业的主要利益相关者也会提供重要信息。用 Gartner 的话来说,“制定与高层领导的优先事项相一致的范围是成功的关键”。因此,了解 C 级高管和董事会认为什么是 P1-“游戏结束”,什么是 P2-高影响,以及什么是他们认为的 P3-低影响非常重要。

第4步:实施安全措施

到目前为止,对公司的顶级关键业务资产了解的差不多了。现在,安全团队需要收集相关的安全发现并生成修复活动列表。但是,由于不可能修复所有内容,从哪里开始并投入大量精力也需要仔细斟酌。

通常,可以先从漏洞管理解决方案或最近的 Pen 测试结果中收集相关输出。它可以作为有关 IT 基础架构内风险的宝贵信息,并将生成另一份修复活动列表,现在需要做的就是对其进行优先排序,这仍然是一项艰巨的工作。

如果企业使用的是 XM Cyber 这样的解决方案,将从场景框架中受益。

每个场景都会对特定范围的关键业务资产进行连续攻击模拟。例如,如果一个重要的业务流程是 “支付处理”,那么使用情景模拟就可以回答以下业务问题: “攻击者是否有可能破坏支付处理业务流程?”每个场景的执行都会产生一个风险评分,其中包含针对所有关键业务资产的攻击路径结果。此外,还将获得一份建议修复活动的优先级列表,以获得最高的投资回报率。

结论

安全团队花费了大量时间询问 “攻击者是否有可能破坏支付处理业务流程 ”或 “我们是否充分保护了最敏感的客户关系管理数据库、文件存储和管理员用户 ”等问题。如果不了解对业务影响最大的因素,这样的努力往往是徒劳的。

有了以上概述的方法,就可以摒弃那些会降低安全计划有效性的 “喷洒”和 “祈祷”工作,开始真正解决对业务最重要的问题——不仅是技术方面,还有对核心业务关系的影响。

通过将重点放在关键业务资产上,安全团队将大大提高工作效率。更进一步的是,安全团队可以站在企业的首席执行官和董事会的角度思考问题,将他们关心的问题作为自己的首要任务。这种协同作用将使沟通更加顺畅,优先事项更加一致,是企业成功运营的秘诀。

参考来源:

https://thehackernews.com/2024/05/4-step-approach-to-mapping-and-securing.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/23003.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

IT项目常用考核指标

在IT项目管理中,考核指标是用来评估项目进展和成果的重要依据。以下是一些常用的IT项目考核指标,包括具体的指标名称、计算公式、基准达标值以及常见问题: 1 项目进度准时率 项目的生命线是什么?没错,是时间&#xf…

【UML用户指南】-01-UML基本元素的介绍(一)

目录 1、UML的词汇表 2、UML的4种事物 2.1、结构事物 1)类 2)接口 3)协作 4)用例(use case) 5)主动类(active class) 6)构件(component&a…

揭秘c语言储存类别

前言 欢迎来到我的博客 个人主页:北岭敲键盘的荒漠猫-CSDN博客 本文将整理c语言的储存类型的知识点 储存类型概念 描述:用于解决内存开辟与解放的时间的问题。跟作用域没啥关系。 但是呢,他也是能影响到程序的运行的,所以是很关键的。 类型: auto :自…

拉取代码编辑器中报错`Delete ␍ prettier/prettier` 问题的解决方案

当您在使用 git clone 下载Web前端代码仓库后,可能会遇到 Delete ␍ prettier/prettier 的提示时,这通常意味着您的代码中存在不兼容的换行符问题。 问题产生的原因 在不同的操作系统中,文本文件的换行符是不同的。Windows系统通常使用回车…

Pytorch常用函数用法归纳:Tensor张量之间的计算

1.torch.add() (1)函数原型: torch.add(input, other, alpha, out) (2)参数说明: 参数名称参数类型参数说明inputtorch.Tensor表示参与运算的第一个输入Tensor张量othertorch.Tensor或者Number表示参与运算的第二个输入Tensor张量或标量alphaNumber, optional一个可选的缩放…

idea mac快捷键

Mac快捷键 快捷键 说明 ⌘ F 在当前窗口查找 ⌘ ⇧ F 在全工程查找 ⌘ ⇧ ⌥ N 查找类中的方法或变量 F3 / ⇧ F3 移动到搜索结果的下/上一匹配处 ⌘ R 在当前窗口替换 ⌘ ⇧ R 在全工程替换 ⌘ ⇧ V 可以将最近使用的剪贴板内容选择插入到文本 ⌥…

负压实验室设计建设方案

随着全球公共卫生事件的频发,负压实验室的设计和建设在医疗机构中的重要性日益凸显。负压实验室,特别是负压隔离病房,主要用于控制传染性疾病的扩散,保护医护人员和周围环境的安全。广州实验室装修公司中壹联凭借丰富的实验室装修…

MQTT.FX的使用

背景 在如今物联网的时代下,诞生了许多的物联网产品,这些产品通过BLE、WIFI、4G等各种各样的通信方式讲数据传输到各种各样的平台。 除了各个公司私有的云平台外,更多的初学者会接触到腾讯云、阿里云之类的平台。设备接入方式也有着多种多样…

神经网络应用场景——图像识别

神经网络在图像识别中的应用是一项重要且广泛的技术,下面将详细解释和说明神经网络在图像识别中的定义、特点以及应用场景。 一、定义 神经网络在图像识别中的应用,主要是指利用神经网络模型对图像进行特征提取和分类,从而实现对图像中物体…

Spring自带定时任务@Scheduled注解

文章目录 1. cron表达式生成器2. 简单定时任务代码示例:每隔两秒打印一次字符3. Scheduled注解的参数3.1 cron3.2 fixedDelay3.3 fixedRate3.4 initialDelay3.5 fixedDelayString、fixedRateString、initialDelayString等是String类型,支持占位符3.6 tim…

2004NOIP普及组真题 4. 火星人

线上OJ&#xff1a; 【04NOIP普及组】火星人 核心思想&#xff1a; 本题的难点是阅读理解。通读后发现&#xff0c;题目的本质是全排列&#xff0c;加上的数字 m &#xff0c;起始就是调用 m 次 next_permutation() 。 题解代码&#xff1a; #include <bits/stdc.h> u…

C++部分关键字的作用-__declspec(dllexport)、__declspec(dllimport)、__attribute__、__cdecl

__declspec(dllexport)和__declspec(dllimport) 这个关键字主要用于Windows平台上的DLL编程。当你在一个DLL中定义一个函数或变量&#xff0c;并希望它能够被其他应用程序导入和使用时&#xff0c;你可以使用__declspec(dllexport)来标记这个函数或变量&#xff0c;这样编译器…

C语言从头学16——数据类型(二)

继续学习数据类型。 3、浮点型数float 有小数点的数值称为浮点数。浮点数用 float 进行声明。 float 类型占用4个字节&#xff08;32位&#xff09;&#xff0c;float 类型表示十进制数时至少能够提供6位有效数字&#xff0c;例如&#xff1a; float x 1020.25; …

程序员应该有什么职业素养?【模板】

程序员应该有什么职业素养&#xff1f; 简介&#xff1a;你认为对于程序员而言&#xff0c;什么职业素养是最为重要的呢&#xff1f;在你的职业生涯中&#xff0c;有什么切实的案例发生吗&#xff1f;让我们探讨程序员在职业生涯中应具备的职业素养&#xff0c;讲述你在工作中…

GD32F407ZGT6/GD32F450ZGT6(3)外部中断实验

本文章基于兆易创新GD32 MCU所提供的2.2.4版本库函数开发 向上代码兼容GD32F450ZGT6中使用 后续项目主要在下面该专栏中发布&#xff1a; https://blog.csdn.net/qq_62316532/category_12608431.html?spm1001.2014.3001.5482 感兴趣的点个关注收藏一下吧! 电机驱动开发可以跳转…

商品详情接口在独立站的应用及接口请求示例

商品详情接口在独立站的应用主要体现在以下几个方面&#xff0c;这些应用不仅提升了独立站的运营效率&#xff0c;也优化了用户体验&#xff1a; 商品信息查询与展示&#xff1a; 商品详情接口允许独立站通过商品ID或关键词快速查询商品详细信息&#xff0c;包括价格、库存、…

用幻灯片讲解C++手动内存管理

用幻灯片讲解C手动内存管理 1.栈内存的基本元素 2.栈内存的聚合对象 3.手动分配内存和释放内存 注意&#xff1a;手动分配内存&#xff0c;指的是在堆内存中。 除非实现自己的数据结构&#xff0c;否则永远不要手动分配内存! 即使这样&#xff0c;您也应该通过std::allocator…

Nerstudio 相机优化代码理解

源码 有两种模式&#xff0c;SO3xR3和SE3&#xff0c;代表不同的刚体变换&#xff0c;都是6个参数&#xff0c;表述三个旋转角3个偏移量 # Initialize learnable parameters.if self.config.mode "off":passelif self.config.mode in ("SO3xR3", "S…

ABC353

A #include<bits/stdc.h>using namespace std;int n;int main() {cin>>n;int m0;int i0;int pos0;while(m<n){mpow(2,i);i;pos;}cout<<pos; }B 模拟 #include <iostream> #include <cstring> #include <algorithm>using namespace s…

进入新公司有焦虑感怎么办?

前因 前两天技术交流群里有童鞋问了一个很有意思的问题&#xff0c;他问如何克服进入新公司的焦虑感&#xff1f;很多热心的童鞋都纷纷支招&#xff0c;比如 “主动干活”、“专注干活”、“让时间冲淡焦虑感”、……等等&#xff0c;这些都很有道理&#xff0c;不过&#xff…