如果安全團隊意識到他們的資產清單不完整或已過時，他們應該采取哪些首要步驟?

首要步驟是公開溝通這一問題，并向利益相關者警示與不準確清單相關的潛在風險。那種認為資產清單只是“一次性項目”的觀念已經過時，需要轉變為維護一個包含業務上下文的持續更新的動態地圖。

從已有的可見性出發，如終端代理、云服務提供商、DNS記錄、采購系統，并開始關聯這些信息。隨后，引入不依賴于內部文檔的被動和主動發現方法。如果這個過程尚未自動化，那么可以合理假設它已經過時了。

從實際操作的角度來看，以下步驟可能有助于加強未來的資產發現工作：

啟動自動化發現流程：許多企業已經擁有網絡掃描器、EDR代理或CMDBs等工具，然而，實施專門構建的、持續的發現工具將通過提高可見性和上下文感知來提供額外的安全性。

定義清單的范圍和目標：從硬件和軟件到云資產，對需要包含在清單中的資產進行分類，以避免遺漏環境中的關鍵元素。

建立跨職能團隊：資產清單不僅僅是安全的責任，它是IT運營、網絡團隊、開發團隊甚至業務部門之間的協作，以確保所有資產都被識別并準確記錄，這將需要明確界定的角色和職責。

制定修復計劃：定義維護資產清單更新過程的步驟，包括時間表、責任方和使用的工具。

企業在發現本地、云和SaaS環境中的數字資產時，通常會面臨哪些最大的盲點?

最大的盲點并不是某個特定的資產，而是相信紙上所寫的就是實際在生產環境中運行的。許多企業往往只關注已知資產，這可能會產生一種虛假的安全感。

盲點并不總是由于惡意意圖造成的，而是由于分散的決策、被遺忘的基礎設施或尚未納入中央控制的新技術發展。

外部應用程序、遺留技術和被遺棄的云基礎設施，如臨時測試環境，可能會在預期用途結束后很長時間內仍然存在漏洞，這些資產構成風險，特別是當它們因配置錯誤或權限設置過寬而意外暴露時。

第三方和供應鏈集成帶來了另一層復雜性，盡管這些資產并非直接擁有，但它們仍然可能對你的環境產生重大影響。如果供應商受到損害，風險實際上會轉移到你身上。如果沒有自動化和持續驗證，很難相信紙上所寫的與實際情況相符。

在傳統的發現過程中，哪些類型的資產最容易被忽視?

傳統發現過程往往會遺漏那些在網絡邊界內沒有留下清晰、可追蹤足跡的資產。這包括在活動或產品發布期間創建的子域名;未正式注冊或變更控制的公共API;第三方登錄門戶或與你的品牌和代碼倉庫相關的資產，或通過DNS暴露的配置錯誤的服務，這些資產位于邊緣，與企業相連但在傳統意義上并不屬于企業，這就是為什么它們容易被遺漏，也容易被攻擊者發現。

資產發現應如何與網絡安全堆棧的其他組件(如漏洞管理、威脅檢測和CMDBs)集成?

如果沒有準確且持續的發現過程，用于漏洞管理、威脅檢測甚至CMDBs的工具將基于不完整或過時的信息進行操作。

眾所周知，你無法修補你看不見的東西，更重要的是，如果你不知道應該存在什么，你就無法檢測異常。資產發現有助于建立這一基準，它還在豐富和糾正CMDBs方面發揮著至關重要的作用，因為CMDBs經常與生產環境中的實際情況不同步。

關鍵是將資產發現視為真相的來源，而不是審計的復選框，它驅動優先級排序、響應，甚至合規性。

你建議企業如何從風險或暴露的角度對發現的資產進行優先級排序?

許多漏洞管理計劃嚴重依賴CVE計數或嚴重性評分，然而這種方法未能反映對業務的實際風險。僅僅識別出一個漏洞是不夠的，漏洞存在的上下文才是應該驅動優先級排序的關鍵。

例如，重要的是要詢問受影響的資產是否面向互聯網，是否支持關鍵業務功能，或者是否是供應鏈或第三方集成的一部分。

還值得考慮的是，該資產是活躍使用還是處于休眠狀態，它是如何維護的，以及最終由誰擁有，這些細節有助于確定潛在泄露的可能性和影響。

最終，企業通過基于暴露和與關鍵操作的接近程度來優先排序，而不是僅僅基于簽名掃描，將獲得更大的價值。風險不僅僅是關于什么容易受到攻擊;它是關于什么被暴露、可被利用以及對業務的重要性。