漏洞算不算资产;如何管理资产并收敛攻击面 | FB甲方群话题讨论
💡
原文中文,约6300字,阅读约需15分钟。
📝
内容提要
本文讨论企业在互联网资产管理和攻击面收敛方面的方法,包括排查外部资产开放情况、关闭不必要对外开放的系统、使用SDP进行收敛暴露面等。同时,还讨论了如何处理漏洞和威胁,以及如何对资产进行全生命周期管理。
🎯
关键要点
- 企业在互联网资产管理和攻击面收敛方面的方法包括定期排查外部资产开放情况、关闭不必要对外开放的系统、使用SDP进行收敛暴露面。
- 定期对企业资产进行扫描,识别开放情况,避免直接给主机配公网IP。
- 实施严格的权限管理和访问控制机制,定期进行漏洞扫描和安全评估,及时修复漏洞。
- 建立有效的安全策略和防护措施,包括防火墙、入侵检测系统等,降低攻击风险。
- 资产全生命周期管理的必要性,资产的新增到销毁需通过审批流程进行管理。
- 漏洞被视为资产属性或风险标签,漏洞依附于资产存在,没有资产就没有漏洞。
- SSLVPN存在安全隐患,建议使用零信任等替代方案来增强安全性。
- 企业应主动开展暗资产收集,通过扫描和人工梳理等方式进行管理。
- 资产测绘系统可以帮助搜集暗资产,但传统CMDB可能无法满足所有资产管理需求。
- 安全投入应小于资产的年度损失,以实现对企业的安全保护。
➡️
