提到 “關鍵資產(chǎn) ”，相信大家并不陌生，它是企業(yè) IT 基礎設施中對組織運作至關重要的技術資產(chǎn)。如果這些資產(chǎn)（如應用服務器、數(shù)據(jù)庫或特權身份）出現(xiàn)問題，勢必會對企業(yè)安全態(tài)勢造成嚴重影響。

但每項技術資產(chǎn)都被視為關鍵業(yè)務資產(chǎn)嗎？你對關鍵業(yè)務資產(chǎn)的風險真正了解多少？

關鍵業(yè)務資產(chǎn)指的是企業(yè)的基礎技術資產(chǎn)，而技術只是企業(yè)成功運營所需的三大支柱之一。為了實現(xiàn)完整的網(wǎng)絡安全治理，應考慮以下因素： 1）技術；2）業(yè)務流程；3）關鍵人員。當這 3 個支柱結合在一起時，才能真正了解到哪些是關鍵業(yè)務資產(chǎn)或對企業(yè)成功運營至關重要的資產(chǎn)。

關注關鍵業(yè)務資產(chǎn)的重要性

如今，需要修復的問題實在是太多了——從 CVE 到錯誤配置，再到過度許可的身份等等，這些問題沒法全部解決。在這種情況下，“應該首先把精力集中在哪里”是安全團隊最常提出的問題。由于沒有明確的方法來解決最重要的問題，也不知道真正重要的是什么，或者真正的業(yè)務影響是什么，他們往往采取“網(wǎng)絡安全噴灑和祈禱方法”。他們試圖解決所有問題，但這無疑是浪費時間、精力和資源。

幸運的是，Gartner 最近發(fā)布了一個新的框架，即持續(xù)威脅暴露管理框架（CTEM），該框架可以幫助安全團隊了解在哪些方面做得更好以及如何確定工作的優(yōu)先順序，其聲明如下： “CISO 必須考慮以下幾點： 與業(yè)務流程相關的......哪些是最關鍵、最易暴露的 IT 系統(tǒng)。”

這就是為什么專注于影響業(yè)務的問題至關重要，它幫助安全團隊工作變得更加高效和有效，確保更好地利用資源。

另外，CTEM 框架可以確保安全人員與公司高層領導最關心的問題保持一致，使得與業(yè)務目標的溝通和對齊更加順暢。這證明了網(wǎng)絡安全不僅僅是保護企業(yè)的數(shù)字足跡，而是一個真正的業(yè)務推動者。它可以確保企業(yè)覆蓋并保護支撐最重要的業(yè)務流程的技術資產(chǎn)，保證與關鍵業(yè)務資產(chǎn)相關的風險持續(xù)降低，同時獲得豐厚的投資回報。

如何保護關鍵業(yè)務資產(chǎn)

當涉及到保護關鍵業(yè)務資產(chǎn)時，有4個關鍵步驟：

第1步：確定業(yè)務流程

我們都知道關注關鍵業(yè)務資產(chǎn)很重要，但如何才能判定哪些是真正的關鍵業(yè)務資產(chǎn)，哪些不是？

如果安全團隊沒有進行適當?shù)臉I(yè)務風險評估，那么確定最重要的業(yè)務流程可能具有挑戰(zhàn)性。風險管理團隊提供的此類報告能幫助企業(yè)了解最重要的業(yè)務驅動因素，從而從最大的風險領域入手。

假設安全團隊已經(jīng)有一段時間沒有進行風險評估，或者從未進行過，要么進行風險評估，要么使用“跟隨資金流向”的方法：

• 企業(yè)如何創(chuàng)收（資金流入），例如：銷售產(chǎn)品、服務等。
• 企業(yè)如何花錢（資金流出），例如：運營成本、市場營銷等方面的支出。

“跟隨資金流向”可以很好地幫助企業(yè)初步發(fā)現(xiàn)業(yè)務流程及其相關的底層技術。

第2步：將業(yè)務流程映射到技術資產(chǎn)

現(xiàn)在已經(jīng)對最重要的業(yè)務流程有了更深入的了解，可以開始將每個流程映射到底層技術資產(chǎn)上，包括應用服務器、數(shù)據(jù)庫、安全文件存儲、特權身份等，這些都是企業(yè)的關鍵業(yè)務資產(chǎn)。

注意，最好將包含最敏感數(shù)據(jù)的文件存儲視為業(yè)務關鍵資產(chǎn)。考慮好所有這些特定資產(chǎn)后，才能真正了解到哪些因素對企業(yè)的業(yè)務底線影響最大。

如果安全團隊使用的是 XM Cyber 這樣的解決方案，將自動獲得本地環(huán)境和云環(huán)境的技術資產(chǎn)報告。否則，可能需要通過 CMDB 資產(chǎn)管理工具、ITSM 解決方案、SIEM 解決方案來實現(xiàn)，或者將其記錄在普通的 Excel 電子表格中。

第3步：優(yōu)先級排序

正如前文所提到的，安全團隊不可能解決所有問題，這意味著必須對為確保業(yè)務安全而計劃開展的任何工作進行優(yōu)先排序。即使他們手中有所有寶貴資產(chǎn)的完整清單，仍然需要問自己：“最重要的前 3 - 5 個業(yè)務領域或流程是什么？”在這種情況下，應該與風險管理團隊密切合作，收集此類信息。

此外，企業(yè)的主要利益相關者也會提供重要信息。用 Gartner 的話來說，“制定與高層領導的優(yōu)先事項相一致的范圍是成功的關鍵”。因此，了解 C 級高管和董事會認為什么是 P1-“游戲結束”，什么是 P2-高影響，以及什么是他們認為的 P3-低影響非常重要。

第4步：實施安全措施

到目前為止，對公司的頂級關鍵業(yè)務資產(chǎn)了解的差不多了。現(xiàn)在，安全團隊需要收集相關的安全發(fā)現(xiàn)并生成修復活動列表。但是，由于不可能修復所有內(nèi)容，從哪里開始并投入大量精力也需要仔細斟酌。

通常，可以先從漏洞管理解決方案或最近的 Pen 測試結果中收集相關輸出。它可以作為有關 IT 基礎架構內(nèi)風險的寶貴信息，并將生成另一份修復活動列表，現(xiàn)在需要做的就是對其進行優(yōu)先排序，這仍然是一項艱巨的工作。

如果企業(yè)使用的是 XM Cyber 這樣的解決方案，將從場景框架中受益。

每個場景都會對特定范圍的關鍵業(yè)務資產(chǎn)進行連續(xù)攻擊模擬。例如，如果一個重要的業(yè)務流程是 “支付處理”，那么使用情景模擬就可以回答以下業(yè)務問題： “攻擊者是否有可能破壞支付處理業(yè)務流程？”每個場景的執(zhí)行都會產(chǎn)生一個風險評分，其中包含針對所有關鍵業(yè)務資產(chǎn)的攻擊路徑結果。此外，還將獲得一份建議修復活動的優(yōu)先級列表，以獲得最高的投資回報率。

結論

安全團隊花費了大量時間詢問 “攻擊者是否有可能破壞支付處理業(yè)務流程 ”或 “我們是否充分保護了最敏感的客戶關系管理數(shù)據(jù)庫、文件存儲和管理員用戶 ”等問題。如果不了解對業(yè)務影響最大的因素，這樣的努力往往是徒勞的。

有了以上概述的方法，就可以摒棄那些會降低安全計劃有效性的 “噴灑”和 “祈禱”工作，開始真正解決對業(yè)務最重要的問題——不僅是技術方面，還有對核心業(yè)務關系的影響。

通過將重點放在關鍵業(yè)務資產(chǎn)上，安全團隊將大大提高工作效率。更進一步的是，安全團隊可以站在企業(yè)的首席執(zhí)行官和董事會的角度思考問題，將他們關心的問題作為自己的首要任務。這種協(xié)同作用將使溝通更加順暢，優(yōu)先事項更加一致，是企業(yè)成功運營的秘訣。

參考來源：https://thehackernews.com/2024/05/4-step-approach-to-mapping-and-securing.html