企業的安全團隊面臨多重挑戰,但通過資產管理可以更輕松地解決這些挑戰。以下確定了網絡安全資產管理計劃可以發現的五個潛在問題。
1.未正確使用端點代理
如今有大量工具用于保護數據資產,包括臺式機、筆記本電腦、服務器、虛擬機、智能手機和云計算實例等。但盡管如此,企業仍難以確定其哪些資產缺少其安全策略定義的相關端點保護平臺/端點檢測和響應(EPP/EDR)代理。他們可能擁有正確的端點代理,但無法理解其功能被禁用的原因,或者他們使用的是過期版本的端點代理。
了解哪些資產缺少適當的安全工具覆蓋范圍以及哪些資產缺少工具功能的重要性不可低估。如果一家企業在安全方面進行投資,然后因為未能部署端點代理而遭受惡意軟件攻擊,那么這是對寶貴資源的一種浪費。
端點代理的網絡安全取決于了解哪些資產沒有受到保護,這可能具有挑戰性。EPP/EDR的管理控制臺可以提供有關哪些資產已經安裝端點代理的信息,但它并不一定證明端點代理正在按應有的方式執行。
2.未知的非托管資產
未知的非托管資產是漏洞所在。在沒有安裝管理或代理的情況下,這些設備(可能包括很少使用的臺式機或間歇性連接到企業網絡的筆記本電腦)會構成威脅。
網絡或網絡掃描儀可能識別非托管設備,但這并不能提供有關它們的有用信息,例如它們是否是補丁計劃的一部分,或者它們是否需要安裝EPP/EDR代理。
3.密碼和權限
在不應該為用戶設置的各種活動目錄(AD)權限中,可以重點關注三個權限:AD密碼永不過期、不需要AD密碼,以及不需要AD預驗證。
如果用戶在活動目錄(AD)中擁有不需要密碼的帳戶,安全團隊就會面臨風險,特別是如果它是域控制器上的域管理員帳戶。用戶也將不受有關密碼長度的政策約束,并且可能使用比所需更短的密碼,或者更糟糕的是,即使允許這樣做,也無濟于事。
沒有預驗證的困難在于,網絡攻擊者可以發送一個虛擬的驗證請求,而密鑰分發中心(KDC)將返回一個加密的票證授予票證(TGT),網絡攻擊者可以強制離線。KDC日志中的所有內容都是對TGT的單個請求。如果強制執行Kerberos時間戳預身份驗證,則網絡攻擊者無法向KDC索要加密材料以強制離線。網絡攻擊者必須使用密碼加密時間戳并將其提供給KDC,他們可以重復執行。但是通過強制執行這樣的操作,每次身份驗證失敗時,KDC日志都會記錄該條目。
4.漏洞評估(VA)工具只能掃描他們知道的云實例
隨著越來越多的企業將業務遷移到云端,為保護其內部部署資產而實施的安全解決方案正在努力跟上這一趨勢。
例如,漏洞評估(VA)工具旨在掃描網絡以查找具有已知漏洞的設備,但它們只能掃描他們知道的內容。由于其動態特性,云計算可以創建一些空白,其中有新的實例,而VA工具不知道需要對這些實例進行掃描。
這就是網絡攻擊者能夠利用零日漏洞在云計算服務器上安裝勒索軟件的原因,而無需最終用戶點擊任何內容即可啟動。
5.及時了解關鍵漏洞
具有關鍵漏洞的資產屬于常見漏洞和風險(CVE)類別,定義為缺陷或易受直接或間接網絡攻擊的資產,這些網絡攻擊將產生決定性或重大影響。
顯然,公開的漏洞是可利用的漏洞,而存在這些漏洞的設備是攻擊者的共同目標。因此,如果發現數據資產存在嚴重漏洞,安全團隊應該注意修補和更新數據資產。
這不是一個詳盡的總結,也不是一個引人注目的漏洞列表,而是解決了基本的安全實踐。如果安全團隊能夠控制其企業為創新和提高效率而采用的設備,并確保他們保護完整的資產組合,將顯著減少漏洞并改善風險狀況。
