提到 “關(guān)鍵資產(chǎn) ”，相信大家并不陌生，它是企業(yè) IT 基礎(chǔ)設(shè)施中對(duì)組織運(yùn)作至關(guān)重要的技術(shù)資產(chǎn)。如果這些資產(chǎn)（如應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)或特權(quán)身份）出現(xiàn)問(wèn)題，勢(shì)必會(huì)對(duì)企業(yè)安全態(tài)勢(shì)造成嚴(yán)重影響。

但每項(xiàng)技術(shù)資產(chǎn)都被視為關(guān)鍵業(yè)務(wù)資產(chǎn)嗎？你對(duì)關(guān)鍵業(yè)務(wù)資產(chǎn)的風(fēng)險(xiǎn)真正了解多少？

關(guān)鍵業(yè)務(wù)資產(chǎn)指的是企業(yè)的基礎(chǔ)技術(shù)資產(chǎn)，而技術(shù)只是企業(yè)成功運(yùn)營(yíng)所需的三大支柱之一。為了實(shí)現(xiàn)完整的網(wǎng)絡(luò)安全治理，應(yīng)考慮以下因素： 1）技術(shù)；2）業(yè)務(wù)流程；3）關(guān)鍵人員。當(dāng)這 3 個(gè)支柱結(jié)合在一起時(shí)，才能真正了解到哪些是關(guān)鍵業(yè)務(wù)資產(chǎn)或?qū)ζ髽I(yè)成功運(yùn)營(yíng)至關(guān)重要的資產(chǎn)。

關(guān)注關(guān)鍵業(yè)務(wù)資產(chǎn)的重要性

如今，需要修復(fù)的問(wèn)題實(shí)在是太多了——從 CVE 到錯(cuò)誤配置，再到過(guò)度許可的身份等等，這些問(wèn)題沒(méi)法全部解決。在這種情況下，“應(yīng)該首先把精力集中在哪里”是安全團(tuán)隊(duì)最常提出的問(wèn)題。由于沒(méi)有明確的方法來(lái)解決最重要的問(wèn)題，也不知道真正重要的是什么，或者真正的業(yè)務(wù)影響是什么，他們往往采取“網(wǎng)絡(luò)安全噴灑和祈禱方法”。他們?cè)噲D解決所有問(wèn)題，但這無(wú)疑是浪費(fèi)時(shí)間、精力和資源。

幸運(yùn)的是，Gartner 最近發(fā)布了一個(gè)新的框架，即持續(xù)威脅暴露管理框架（CTEM），該框架可以幫助安全團(tuán)隊(duì)了解在哪些方面做得更好以及如何確定工作的優(yōu)先順序，其聲明如下： “CISO 必須考慮以下幾點(diǎn)： 與業(yè)務(wù)流程相關(guān)的......哪些是最關(guān)鍵、最易暴露的 IT 系統(tǒng)。”

這就是為什么專注于影響業(yè)務(wù)的問(wèn)題至關(guān)重要，它幫助安全團(tuán)隊(duì)工作變得更加高效和有效，確保更好地利用資源。

另外，CTEM 框架可以確保安全人員與公司高層領(lǐng)導(dǎo)最關(guān)心的問(wèn)題保持一致，使得與業(yè)務(wù)目標(biāo)的溝通和對(duì)齊更加順暢。這證明了網(wǎng)絡(luò)安全不僅僅是保護(hù)企業(yè)的數(shù)字足跡，而是一個(gè)真正的業(yè)務(wù)推動(dòng)者。它可以確保企業(yè)覆蓋并保護(hù)支撐最重要的業(yè)務(wù)流程的技術(shù)資產(chǎn)，保證與關(guān)鍵業(yè)務(wù)資產(chǎn)相關(guān)的風(fēng)險(xiǎn)持續(xù)降低，同時(shí)獲得豐厚的投資回報(bào)。

如何保護(hù)關(guān)鍵業(yè)務(wù)資產(chǎn)

當(dāng)涉及到保護(hù)關(guān)鍵業(yè)務(wù)資產(chǎn)時(shí)，有4個(gè)關(guān)鍵步驟：

第1步：確定業(yè)務(wù)流程

我們都知道關(guān)注關(guān)鍵業(yè)務(wù)資產(chǎn)很重要，但如何才能判定哪些是真正的關(guān)鍵業(yè)務(wù)資產(chǎn)，哪些不是？

如果安全團(tuán)隊(duì)沒(méi)有進(jìn)行適當(dāng)?shù)臉I(yè)務(wù)風(fēng)險(xiǎn)評(píng)估，那么確定最重要的業(yè)務(wù)流程可能具有挑戰(zhàn)性。風(fēng)險(xiǎn)管理團(tuán)隊(duì)提供的此類報(bào)告能幫助企業(yè)了解最重要的業(yè)務(wù)驅(qū)動(dòng)因素，從而從最大的風(fēng)險(xiǎn)領(lǐng)域入手。

假設(shè)安全團(tuán)隊(duì)已經(jīng)有一段時(shí)間沒(méi)有進(jìn)行風(fēng)險(xiǎn)評(píng)估，或者從未進(jìn)行過(guò)，要么進(jìn)行風(fēng)險(xiǎn)評(píng)估，要么使用“跟隨資金流向”的方法：

• 企業(yè)如何創(chuàng)收（資金流入），例如：銷售產(chǎn)品、服務(wù)等。
• 企業(yè)如何花錢（資金流出），例如：運(yùn)營(yíng)成本、市場(chǎng)營(yíng)銷等方面的支出。

“跟隨資金流向”可以很好地幫助企業(yè)初步發(fā)現(xiàn)業(yè)務(wù)流程及其相關(guān)的底層技術(shù)。

第2步：將業(yè)務(wù)流程映射到技術(shù)資產(chǎn)

現(xiàn)在已經(jīng)對(duì)最重要的業(yè)務(wù)流程有了更深入的了解，可以開(kāi)始將每個(gè)流程映射到底層技術(shù)資產(chǎn)上，包括應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)、安全文件存儲(chǔ)、特權(quán)身份等，這些都是企業(yè)的關(guān)鍵業(yè)務(wù)資產(chǎn)。

注意，最好將包含最敏感數(shù)據(jù)的文件存儲(chǔ)視為業(yè)務(wù)關(guān)鍵資產(chǎn)。考慮好所有這些特定資產(chǎn)后，才能真正了解到哪些因素對(duì)企業(yè)的業(yè)務(wù)底線影響最大。

如果安全團(tuán)隊(duì)使用的是 XM Cyber 這樣的解決方案，將自動(dòng)獲得本地環(huán)境和云環(huán)境的技術(shù)資產(chǎn)報(bào)告。否則，可能需要通過(guò) CMDB 資產(chǎn)管理工具、ITSM 解決方案、SIEM 解決方案來(lái)實(shí)現(xiàn)，或者將其記錄在普通的 Excel 電子表格中。

第3步：優(yōu)先級(jí)排序

正如前文所提到的，安全團(tuán)隊(duì)不可能解決所有問(wèn)題，這意味著必須對(duì)為確保業(yè)務(wù)安全而計(jì)劃開(kāi)展的任何工作進(jìn)行優(yōu)先排序。即使他們手中有所有寶貴資產(chǎn)的完整清單，仍然需要問(wèn)自己：“最重要的前 3 - 5 個(gè)業(yè)務(wù)領(lǐng)域或流程是什么？”在這種情況下，應(yīng)該與風(fēng)險(xiǎn)管理團(tuán)隊(duì)密切合作，收集此類信息。

此外，企業(yè)的主要利益相關(guān)者也會(huì)提供重要信息。用 Gartner 的話來(lái)說(shuō)，“制定與高層領(lǐng)導(dǎo)的優(yōu)先事項(xiàng)相一致的范圍是成功的關(guān)鍵”。因此，了解 C 級(jí)高管和董事會(huì)認(rèn)為什么是 P1-“游戲結(jié)束”，什么是 P2-高影響，以及什么是他們認(rèn)為的 P3-低影響非常重要。

第4步：實(shí)施安全措施

到目前為止，對(duì)公司的頂級(jí)關(guān)鍵業(yè)務(wù)資產(chǎn)了解的差不多了。現(xiàn)在，安全團(tuán)隊(duì)需要收集相關(guān)的安全發(fā)現(xiàn)并生成修復(fù)活動(dòng)列表。但是，由于不可能修復(fù)所有內(nèi)容，從哪里開(kāi)始并投入大量精力也需要仔細(xì)斟酌。

通常，可以先從漏洞管理解決方案或最近的 Pen 測(cè)試結(jié)果中收集相關(guān)輸出。它可以作為有關(guān) IT 基礎(chǔ)架構(gòu)內(nèi)風(fēng)險(xiǎn)的寶貴信息，并將生成另一份修復(fù)活動(dòng)列表，現(xiàn)在需要做的就是對(duì)其進(jìn)行優(yōu)先排序，這仍然是一項(xiàng)艱巨的工作。

如果企業(yè)使用的是 XM Cyber 這樣的解決方案，將從場(chǎng)景框架中受益。

每個(gè)場(chǎng)景都會(huì)對(duì)特定范圍的關(guān)鍵業(yè)務(wù)資產(chǎn)進(jìn)行連續(xù)攻擊模擬。例如，如果一個(gè)重要的業(yè)務(wù)流程是 “支付處理”，那么使用情景模擬就可以回答以下業(yè)務(wù)問(wèn)題： “攻擊者是否有可能破壞支付處理業(yè)務(wù)流程？”每個(gè)場(chǎng)景的執(zhí)行都會(huì)產(chǎn)生一個(gè)風(fēng)險(xiǎn)評(píng)分，其中包含針對(duì)所有關(guān)鍵業(yè)務(wù)資產(chǎn)的攻擊路徑結(jié)果。此外，還將獲得一份建議修復(fù)活動(dòng)的優(yōu)先級(jí)列表，以獲得最高的投資回報(bào)率。

結(jié)論

安全團(tuán)隊(duì)花費(fèi)了大量時(shí)間詢問(wèn) “攻擊者是否有可能破壞支付處理業(yè)務(wù)流程 ”或 “我們是否充分保護(hù)了最敏感的客戶關(guān)系管理數(shù)據(jù)庫(kù)、文件存儲(chǔ)和管理員用戶 ”等問(wèn)題。如果不了解對(duì)業(yè)務(wù)影響最大的因素，這樣的努力往往是徒勞的。

有了以上概述的方法，就可以摒棄那些會(huì)降低安全計(jì)劃有效性的 “噴灑”和 “祈禱”工作，開(kāi)始真正解決對(duì)業(yè)務(wù)最重要的問(wèn)題——不僅是技術(shù)方面，還有對(duì)核心業(yè)務(wù)關(guān)系的影響。

通過(guò)將重點(diǎn)放在關(guān)鍵業(yè)務(wù)資產(chǎn)上，安全團(tuán)隊(duì)將大大提高工作效率。更進(jìn)一步的是，安全團(tuán)隊(duì)可以站在企業(yè)的首席執(zhí)行官和董事會(huì)的角度思考問(wèn)題，將他們關(guān)心的問(wèn)題作為自己的首要任務(wù)。這種協(xié)同作用將使溝通更加順暢，優(yōu)先事項(xiàng)更加一致，是企業(yè)成功運(yùn)營(yíng)的秘訣。

參考來(lái)源：https://thehackernews.com/2024/05/4-step-approach-to-mapping-and-securing.html