网络安全与基础设施安全机构(CISA)开幕网络安全宣传月昨天和砰的一声,其最新的绑定操作指令要求联邦机构占资产的一个完整的库存和漏洞。在过去中国钢铁工业协会报道,我们建议组织与联邦政府做生意,希望保持良好的网络的姿势,或希望在潜在的监管要求的也应该让团队熟悉,努力满足中钢协的要求。中钢协提供的联邦机构合规开始日期4月3日,2023年。

盲目

安全团队一直在试图列举漏洞时盲目未知资产几十年了。组织经常有多个或过时的配置管理数据库、电子表格、或漏洞扫描有限的已知的IP范围和站点。

很多团队知道资产存在于筒仓或影子,他们无法验证。尝试任何资产数据导致混乱的重复和矛盾的数据。

功能脆弱性管理解决方案已经扩展到解决这些挑战。公司提供特定的解决方案包括Axonius JupiterOne,纯粹理性的网络。

需要从中钢协关于资产发现包括以下操作:

  • 自动化的资产发现每七天
  • 发现,至少必须包括组织的整个IPv4空间
  • 按需启动资产发现的能力
  • 包含IP寻址操作技术和漫游/云资产
  • 排除短暂的容器或SaaS等资产

漏洞发现需求

定义良好的脆弱性管理指导方针或框架很少在美国,但中国钢铁工业协会提供了明确的需求在这个指令。修复的需求不解决额外的时间,但这样做之前的指令已知的漏洞脆弱性管理解决方案供应商如Qualys Rapid7,或成立将帮助满足以下要求:

  • 必须进行脆弱性扫描所有发现资产每14天,包括游牧笔记本电脑等资产。
  • 扫描端点必须与特权凭证进行管理。受到信任网络和基于代理扫描是可以接受的,按指令。
  • 检测签名必须在24小时内更新的供应商发布日期。
  • 如果可用,脆弱性枚举在移动(iOS和Android设备)必须进行。

写在墙上

中钢协的概述资产枚举安全项目的重要性是一个感叹号在多年的安全团队公告,老龄化NIST网络安全框架,和最近的攻击表面管理收购。尽管发现未知的外部资产不是特别提到的指令,外部攻击表面管理供应商已经过去几个月了。IBM去年6月宣布收购Randori,同月站得住脚的封闭在其购买的一些发现,和CrowdStrike透露有意购买Reposify歧视。上个月Con -快速添加我们相信将成为一个标准的能力在一些安全技术类别。

我们期望的定义攻击表面生长在未来几个月,联邦机构和监管机构最终会将占所有资产,已知或不是。

Forrester攻击表面管理范围

攻击向量和威胁继续发展,那么Forrester的报道技术可以帮助组织大规模的技术遗产处理。我将承担网络资产攻击表面管理从杰斯燃烧而她继续外部攻击面管理的报道。

我们希望你能加入我们的人或几乎在Forrester的安全与风险论坛今年11月。我将展示一个会话题为“重塑脆弱性管理程序重新获得信任。“这个演讲将介绍方法优先漏洞修复,这样我们可以扩展橄榄枝的运营团队越来越怀疑VRM团队的持续的洪水(通常是不准确的)弱点的预测。

如果你有问题关于攻击面管理、漏洞风险、或指令,请与我们取得联系!Forrester客户可以安排或指导会话的询盘同时,随时伸出通过Twitter (@eriknost/@Jess_Burn_)或电子邮件