安全资产管理是企业安全建设中非常重要的工作,事前要主动通过资产管理发现风险和威胁,高危端口和服务等要消除。事中要做到当1day风险爆发时,安全团队能拉一份清单,哪些受影响,受影响的处理步骤,哪些先处理,哪些后处理,怎么保障可用性,一整套方案给到部门总经理,安全团队才有价值。
安全资产管理远不止上面这些内容,再分享一些关于安全资产管理中容易被忽视的几个点:
分支机构和公有云资产:除了总部和自有资产以外,还要考虑组织分支机构和外部公有云的相关资产,避免在安全运营及外部合规性核查中因自身资产盲区导致不良后果;
新型安全资产:还存在着一些不引人注意的资产类型。例如企业公众号、企业微博号等组织市场推广资源。从组织整体安全运营的角度看,这些资源可能存在误用、盗用、使用不规范等问题导致发布了不合适的内容信息。公众信息发布的安全性,也可以作为安全资产管理的一个关注点;
存在安全隐患的隐藏资产:除了直观可见的安全资产外,还存在着一些不面向大众用户的隐藏资产。例如开放在公网API接口、网站管理后台等。以API为例,该资源不得不开放在互联网侧,基于用户的分布性又难以限制可接入IP,容易受到API参数篡改、内容篡改、中间人攻击等安全威胁。可通过前端防护设备及鉴权控制保障此类资产的安全性;
特权账号:特权账号因其权限较大,比普通账号具有更强的脆弱性。账号作为业务系统人机交互的钥匙,在安全资产管理中容易受到忽视
易被忽视的资产属性:还有一些容易受到忽视,但对业务安全及业务可用性有很大影响的资产属性。例如网站证书的有效期、域名有效期、各类设备维保时间和供应商联系电话等等。
有关安全资产管理更多信息,在《企业信息安全建设:金融行业安全架构与技术实战》中有全面介绍,该书将在2018年11月左右正式上市发售。
#新书预告#由君哥和另外两位甲方金融企业工作的朋友,基于各自十余年甲方企业安全建设实践,致力于解决企业安全建设最后一公里问题,合著了《企业信息安全建设:金融行业安全架构与技术实战》一书,由机械工业出版社出版,将于2018年底面市发售,希望能给企业安全建设的朋友日常工作和实践中一些启发和帮助。本书是三位甲方人员在平常繁重的工作之余,将从业十余年的一些体验和经历分享出来,体系化的将如何在企业做安全建设的思路和实践开源,特别是已经经过实战检验的一线安全建设方案和实践,尤为难得,敬请期待。
声明:本文来自君哥的体历,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
