最后更新于2023年8月10日星期四18:48:13 GMT
Understanding CAASM
本文由Ethan Smart撰写, 联合创始人兼首席解决方案架构师, appNovi (Rapid7集成合作伙伴).
对于安全和It团队来说,对他们的网络资产有一个全面的视图和控制是至关重要的. 这就是网络资产攻击面管理(CAASM)受到安全从业者和领导者如此关注的原因.
根据Gartner的说法,CAASM tools 使用API集成来连接组织的现有数据源. 然后,这些工具持续监控和分析检测到的漏洞,以深入挖掘对业务最关键的威胁,并优先考虑必要的补救和缓解措施,以提高网络安全.”
CAASM提供了所有网络资产的统一视图,通过数据集成来识别暴露的资产和潜在的安全漏洞, conversion, and analytics. 它旨在成为具有所有权的资产信息的权威来源, network, 以及IT和安全团队的业务环境.
安全团队将CAASM与现有工作流集成,以自动进行安全控制差距分析, prioritization, 以及补救过程. 这些集成结果提高了效率,并打破了团队及其工具之间的操作孤岛. CAASM的常见关键绩效指标是资产可见性, 端点代理覆盖率, SLAs, and MTTR.
重要的是要理解资产不仅仅是设备和基础设施. In a 安全运营中心(SOC),资产包括用户、应用程序和应用程序代码. 认识到这些资产的互联性是增强SOC能力的关键. 例如,假设有1000台服务器具有相同的漏洞. 单独评估每一个都非常耗时. CAASM丰富了网络资产数据,使大多数分析自动化.
For example, 当你只懂其中的8个,000台服务器是面向互联网的, 其中只有两个通过必要的端口和协议暴露,以便利用漏洞, 你知道哪些资产的背景曝光率最高, 这些都是可利用的, 这应该首先解决.
In this blog, 我们将介绍安全团队如何利用他们现有的技术堆栈进行网络资产攻击面管理.
了解攻击面
Comprehensive 攻击面管理 这取决于对攻击者的目标的全面理解. 在庞大的企业环境中, 有大量的资产分布在不同的网络中.g. 云、SDN、on-prem),每个都有自己的一套监控和警报工具. 当这些安全工具不能相互操作或相互啮合时, 安全团队对攻击面缺乏完整的了解. 这种碎片化的理解导致了团队和工具的持续孤立,并抑制了有效的数据共享.
网络安全领域最古老的格言之一是 复杂性是安全的敌人当团队认识到资产不仅仅是设备时,复杂性就会增加. 资产不仅仅是连接在网络上的计算机和服务器, 因为这些资产用于支持应用程序以驱动收入. 应用程序也使用代码,这些代码可以被多个应用程序使用. 用户是使用技术运营业务的资产. 这种复杂的资产跟踪和关系映射跨越了网络连接, 应用程序和代码所有权, 以及应用程序之间的依赖关系和间接依赖关系.
CAASM的出现就是为了解决这种复杂性. CAASM是通过整合来自所有不同网络和安全工具的现有数据而建立的. For example, 通过将Rapid7的产品组合与安全数据集成和可视化解决方案集成,如 appNovi, 组织可以实现并维护整个连接网络(包括on-prem)的完全可见性, 软件定义网络(SDN), and hybrid cloud.
Using CAASM, 组织可以利用分析来优化搜索结果, identify trends, 或者向特定的群体或个人传播特定的信息. appNovi的一个常见用例是识别在上下文中暴露的易受攻击的应用程序服务器,并根据登录遥测识别所有者,并通知服务器所有者和安全性. 这种集成的方法提供了全面的攻击面可见性和映射,使组织能够更有效地处理风险和管理漏洞. 当分析与自动化工具相结合时, such as orchestrators, SOC能够专注于威胁搜索,而不是数据分析. 常见的例子包括资产库存管理和安全控制差距分析.
网络资产清单和制图
熟练地管理攻击面, 准确地、详细地发现和绘制组织的资产是至关重要的. 使用 Rapid7的Insight平台 已经确定网络基础设施,以查明活动设备、开放端口和运行服务. 当通过appNovi的丰富功能与其他工具的数据结合使用时, Rapid7的InsightVM集成了整个网络和安全技术堆栈,以揭示被忽视的资产, 那些无意中没有部署端点检测和响应(EDR)代理的, 以及那些需要优先响应的.
遥测数据也可以利用Rapid7的insighttidr来丰富资产数据,以了解网络连接, ownership, and user activity. 这种关系和连接映射支持在资产及其与应用程序的相关性之间建立关系. 通过遥测技术丰富了自动化和不断更新的资产清单, IT和安全团队不仅获得了可见性,而且还对每个资产的依赖关系和业务意义有了全面的了解.
基于暴露的风险评估和优先排序
漏洞扫描器和代理可以帮助您了解哪些设备及其软件容易受到攻击. 对于今天的团队来说,要了解易受攻击设备的暴露情况,需要筛选大量的网络日志数据. 这个耗时的过程通常会抑制基于网络上下文暴露的设备优先级的能力. 但是,当遥测数据被抽象并与网络资产数据融合时, 上下文暴露分析成为一种简单而自动化的分析. 这就是为什么appNovi与Rapid7平台的数据融合可以编译网络, asset, 并将漏洞数据转换为全面且易于访问的格式.
这种强大的数据管理能力意味着团队可以高效准确地识别出最脆弱的设备,这些设备暴露在外部威胁和网络内部的横向移动中. 有了这种程度的丰富, 安全团队可以快速识别需要立即确定优先级以支持有效补救策略的少数资产.
识别和管理新资产
监控攻击面涉及利用各种工具集来识别组织数字生态系统中的新资产. 利用全面的资产发现工具至关重要, 漏洞扫描器,以及其他解决方案,以获得数字基础设施的整体视图.
However, 有些基础设施是临时的,或者所有监视工具都无法访问, 在这种情况下遥测数据源等 SIEM 数据可以用来识别新的资产. This aggregation, enrichment, 此外,分析还可以提供给其他操作,无论是简单的结果电子邮件通知,还是触发特定的自动化操作.
创建闭环修复
当建立了详细资产数据的权威来源时,可以运行标准搜索以提供一致的结果并定义特定的结果. As an example, 许多组织希望在其应用程序基础设施中优先考虑适当的EDR代理和Rapid7 IDR代理安装.
要实现此功能, 安全团队定义什么构成了适当的安全控制,并搜索所有不符合标准的资产. 结果可以触发剧本或工作流来创建自动修复通知. 在编排程序可以安装代理的情况下, 那些没有代理的资产可以在自我修复循环中自动修复.
通过整合Rapid7的平台和appNovi, 企业可以通过实现流线型补救的能力,获得对其攻击面发生的更改的可操作的洞察.
网络资产攻击面管理最佳实践
维护一个强大的攻击面管理计划是至关重要的——尽可能多地自动化它将导致SOC的效率. 对于希望通过网络资产攻击面管理主动提升安全操作的组织来说,有几个最佳实践.
数据不同,问题相同
所有的数据很少采用相同的格式. 更罕见的是,所有数据都提供相同的资产匹配值. 为了使CAASM有效, 摄取和数据汇聚必须通过抽象促进数据规范化. 这需要通过唯一标识符来完成. 没有集成的数据源来支持各种各样的数据结构和供应商的细微差别, 你最终会回到一个Excel电子表格中,它实际上只节省了一个SIEM查询.
Less is hard
关于资产有许多不同的数据点. 所有的资产属性必须汇聚到一个单一的资产配置文件中. 如果没有这个功能, 安全团队将筛选对同一资产提供两种不同视角的重复记录,这通常会导致部分解决方案或不采取行动. To be effective, SOC需要高保真度的数据源,而不是同一资产的几个不完整的配置文件.
Where is it?
完整的资产清单有助于满足法规遵从性需求, but without context, 所有资产都将基于客观数据点进行查看. 因为你有网络数据, 您应该能够将您的网络上下文应用于它,并使资产具有主观性. 具有中等风险的面向外部的资产比隐藏在多个网络安全控制之后的高风险资产更重要. 您的工具已经监视并具有网络和业务上下文,遥测和丰富需要扩展到资产.
What is it?
每个企业都有应用程序. 很少有人知道他们的网络中部署了多少. 使用应用程序数据源可以帮助描述和跟踪应用程序服务器,以及它们的直接和间接依赖关系. 资产的业务重要性不仅有助于确定优先级, 但登录等遥测技术可以加快所有权识别.
Conclusion
通过利用CAASM的力量, 组织可以克服资产跟踪和关系映射的复杂性, 优化他们的安全工作流, 并有效地管理不断变化的威胁形势. 工具已经存在, 所有需要的是集成和数据融合能力,为您提升SOC.
观看appNovi的视频 通过Rapid7了解CAASM功能,了解这种全面而主动的网络安全方法.
