众所周知,易受攻击、不安全的端点可以为网络犯罪分子打开大门,并且随着接入点的指数级增长,风险因素也在增加。这就是网络安全资产管理正在改变企业管理和保护资产的方式的原因。它通过关联来自企业基础架构内各种解决方案的数据来工作,以提供完整且始终最新的资产清单。这样,IT和安全团队可以轻松识别安全漏洞,确保资产遵守安全策略,并立即了解资产是否以任何方式偏离该策略,并根据偏差自动执行操作。企业安全团队面临着多重挑战,这些挑战可以通过资产管理更轻松地解决。以下确定了网络安全资产管理计划可以发现的五个潜在问题。1.端点代理的不当使用当今有大量用于保护数据资产的工具,包括台式机、笔记本电脑、服务器、虚拟机、智能手机和云计算实例。但尽管如此,组织仍难以确定其哪些资产缺少由其安全策略定义的相关端点保护平台/端点检测和响应(EPP/EDR)代理。他们可能拥有正确的端点代理,但无法理解其功能被禁用的原因,或者他们可能使用的端点代理版本已过时。了解哪些资产缺乏适当的安全工具覆盖以及哪些资产缺乏工具功能的重要性不可低估。如果企业在安全方面进行了投资,然后由于未能部署端点代理而遭受恶意软件攻击,那是对宝贵资源的浪费。端点代理的网络安全取决于了解哪些资产未受到保护,这可能具有挑战性。EPP/EDR的管理控制台可以提供有关哪些资产安装了端点代理的信息,但它不一定能证明端点代理正在正常运行。2.未知的非托管资产未知的非托管资产是漏洞所在。如果没有安装管理或代理,这些设备(可能包括偶尔连接到公司网络的很少使用的台式机或笔记本电脑)会构成威胁。网络或网络扫描仪可能会识别非托管设备,但这并不能提供有关它们的有用信息,例如它们是否是修补程序的一部分,或者它们是否需要安装EPP/EDR代理。3、密码和权限在AD的各种不应该给用户设置的权限中,可以重点关注三个权限:AD密码永不过期、不需要AD密码、不需要AD预认证。如果用户在ActiveDirectory(AD)中拥有不需要密码的帐户,尤其是当它是域控制器上的域管理员帐户时,安全团队将面临风险。用户也不会受到有关密码长度的政策的约束,并且可能使用比要求的更短的密码,或者更糟的是,即使允许这样做也什么都不做。没有预认证的困难是网络攻击者可以发送一个虚拟验证请求,密钥分发中心(KDC)将返回一个加密的票证授予票证(TGT),网络攻击者可以强制离线。KDC日志中的所有内容都是对TGT的单个请求。如果强制执行Kerberos时间戳预身份验证,则网络攻击者无法向KDC请求加密材料以强制脱机。网络攻击者必须使用密码加密时间戳并将其提供给KDC,他们可以重复此操作。但是通过强制执行这样的操作,每次身份验证失败时,KDC都会记录该条目。4.漏洞评估(VA)工具只能扫描他们知道的云实例例如,漏洞评估(VA)工具旨在扫描网络以查找具有已知漏洞的设备,但它们只能扫描已知的内容。由于其动态特性,云计算可能会产生空隙,在空隙中会创建VA工具不知道需要扫描的新实例。这就是网络攻击者如何利用零日漏洞在云计算服务器上安装勒索软件,而最终用户无需单击任何内容即可启动。5.及时了解关键漏洞具有关键漏洞的资产属于常见漏洞和暴露(CVE)类别,定义为存在缺陷或容易受到直接或间接网络攻击的资产,这些攻击将产生决定性或重大影响。显然,公共漏洞是可利用的漏洞,具有这些漏洞的设备是攻击者的常见目标。因此,如果发现数据资产极易受到攻击,安全团队应注意修补和更新数据资产。这不是详尽的总结,也不是备受瞩目的漏洞列表,而是解决了基本的安全实践。安全团队可以控制企业用于创新和提高效率的设备,并确保他们保护完整的资产组合,这将显着减少漏洞并改善风险状况。
