众所周知,易受攻击、不安全的端点可以为网络犯罪分子打开大门,随着访问点呈指数级增长,风险因素也在增加。
这就是为什么网络安全资产管理正在改变企业管理和保护资产的方式。它通过关联企业基础设施中各种解决方案的数据来提供完整和最新的资产清单。IT安全团队可以轻松识别安全漏洞,确保资产遵循安全策略,立即了解资产是否以任何方式偏离策略,并根据偏差自动执行操作。
企业的安全团队面临着许多挑战,但这些挑战可以通过资产管理更容易地解决。以下是网络安全资产管理计划中可以发现的五个潜在问题。
1.端点代理没有正确使用
如今有大量工具用于保护数据资产,包括台式机、笔记本电脑、服务器、虚拟机、智能手机和云计算实例等。但尽管如此,企业仍难以确定其哪些资产缺少其安全策略定义的相关端点保护平台/端点检测和响应(EPP/EDR)代理。他们可能有正确的端点代理,但无法理解其功能被禁用的原因,或者使用过期版本的端点代理。
了解哪些资产缺乏适当的安全工具覆盖范围,哪些资产缺乏工具功能的重要性不容低估。如果一个企业投资于安全,并因未能部署端点代理而遭受恶意软件攻击,那么这是对宝贵资源的浪费。
网络安全取决于了解哪些资产没有得到保护,这可能是具有挑战性的。EPP/EDR管理控制台可以提供安装端点代理的资产信息,但不一定证明端点代理正在以应有的方式执行。
2.未知的非托管资产
未知的非托管资产是一个漏洞。这些设备能包括很少使用的台式机或间歇性连接到企业网络的笔记本电脑)在没有安装管理或代理的情况下构成威胁。
网络或网络扫描仪可以识别非托管设备,但它们不能提供有用的信息,比如它们是补丁计划的一部分,还是它们是否需要安装EPP/EDR代理。
3.密码和权限
各种不应为用户设置的活动目录(AD)三个权限可以集中在权限上:AD密码永远不会过期,也不需要AD不需要密码AD预验证。
若用户在活动目录中(AD)如果你有一个没有密码的账户,安全团队将面临风险,特别是如果它是域控制器上的域管理员账户。用户也将不受密码长度的政策限制,并可能使用比他们需要的更短的密码,或者更糟糕的是,即使允许这样做。
没有预验证的困难在于网络攻击者可以发送虚拟验证请求,而密钥分发中心(KDC)返回加密票证授予票证(TGT),网络攻击者可以强制离线。KDC日志中的所有内容都是正确的TGT单个请求。如强制执行Kerberos如果时间戳预身份验证,网络攻击者就无法向前走KDC要求加密材料强制离线。网络攻击者必须使用密码加密时间戳并提供它KDC,他们可以重复执行。但是通过强制执行这样的操作,每次身份验证失败时,KDC本条目将记录在日志中。
4.漏洞评估(VA)工具只能扫描他们知道的云实例
随着越来越多的企业将业务转移到云端,为保护其内部资产而实施的安全解决方案正在努力跟上这一趋势。
例如,漏洞评估(VA)该工具旨在扫描网络,以找到具有已知漏洞的设备,但它们只能扫描它们所知道的内容。由于其动态特性,云计算可以创建新的例子VA工具不知道需要扫描这些例子。
这就是网络攻击者能够利用零日漏洞在云计算服务器上安装勒索软件的原因,而无需最终用户点击任何内容即可启动。
5.及时了解关键漏洞
具有关键漏洞的资产属于常见漏洞和风险(CVE)定义为缺陷或容易受到直接或间接网络攻击的资产的类别,会产生决定性或重大影响。
显然,公共漏洞是可用的,而存在这些漏洞的设备是攻击者的共同目标。因此,如果发现数据资产存在严重漏洞,安全团队应注意数据资产的修复和更新。
这不是一个详细的总结,也不是一个引人注目的漏洞列表,而是解决了基本的安全实践。如果安全团队能够控制企业为创新和提高效率而使用的设备,并确保其保护完整的资产组合,将显著减少漏洞,改善风险状况。