如果安全团队意识到他们的资产清单不完整或已过时，他们应该采取哪些首要步骤?

首要步骤是公开沟通这一问题，并向利益相关者警示与不准确清单相关的潜在风险。那种认为资产清单只是“一次性项目”的观念已经过时，需要转变为维护一个包含业务上下文的持续更新的动态地图。

从已有的可见性出发，如终端代理、云服务提供商、DNS记录、采购系统，并开始关联这些信息。随后，引入不依赖于内部文档的被动和主动发现方法。如果这个过程尚未自动化，那么可以合理假设它已经过时了。

从实际操作的角度来看，以下步骤可能有助于加强未来的资产发现工作：

启动自动化发现流程：许多企业已经拥有网络扫描器、EDR代理或CMDBs等工具，然而，实施专门构建的、持续的发现工具将通过提高可见性和上下文感知来提供额外的安全性。

定义清单的范围和目标：从硬件和软件到云资产，对需要包含在清单中的资产进行分类，以避免遗漏环境中的关键元素。

建立跨职能团队：资产清单不仅仅是安全的责任，它是IT运营、网络团队、开发团队甚至业务部门之间的协作，以确保所有资产都被识别并准确记录，这将需要明确界定的角色和职责。

制定修复计划：定义维护资产清单更新过程的步骤，包括时间表、责任方和使用的工具。

企业在发现本地、云和SaaS环境中的数字资产时，通常会面临哪些最大的盲点?

最大的盲点并不是某个特定的资产，而是相信纸上所写的就是实际在生产环境中运行的。许多企业往往只关注已知资产，这可能会产生一种虚假的安全感。

盲点并不总是由于恶意意图造成的，而是由于分散的决策、被遗忘的基础设施或尚未纳入中央控制的新技术发展。

外部应用程序、遗留技术和被遗弃的云基础设施，如临时测试环境，可能会在预期用途结束后很长时间内仍然存在漏洞，这些资产构成风险，特别是当它们因配置错误或权限设置过宽而意外暴露时。

第三方和供应链集成带来了另一层复杂性，尽管这些资产并非直接拥有，但它们仍然可能对你的环境产生重大影响。如果供应商受到损害，风险实际上会转移到你身上。如果没有自动化和持续验证，很难相信纸上所写的与实际情况相符。

在传统的发现过程中，哪些类型的资产最容易被忽视?

传统发现过程往往会遗漏那些在网络边界内没有留下清晰、可追踪足迹的资产。这包括在活动或产品发布期间创建的子域名;未正式注册或变更控制的公共API;第三方登录门户或与你的品牌和代码仓库相关的资产，或通过DNS暴露的配置错误的服务，这些资产位于边缘，与企业相连但在传统意义上并不属于企业，这就是为什么它们容易被遗漏，也容易被攻击者发现。

资产发现应如何与网络安全堆栈的其他组件(如漏洞管理、威胁检测和CMDBs)集成?

如果没有准确且持续的发现过程，用于漏洞管理、威胁检测甚至CMDBs的工具将基于不完整或过时的信息进行操作。

众所周知，你无法修补你看不见的东西，更重要的是，如果你不知道应该存在什么，你就无法检测异常。资产发现有助于建立这一基准，它还在丰富和纠正CMDBs方面发挥着至关重要的作用，因为CMDBs经常与生产环境中的实际情况不同步。

关键是将资产发现视为真相的来源，而不是审计的复选框，它驱动优先级排序、响应，甚至合规性。

你建议企业如何从风险或暴露的角度对发现的资产进行优先级排序?

许多漏洞管理计划严重依赖CVE计数或严重性评分，然而这种方法未能反映对业务的实际风险。仅仅识别出一个漏洞是不够的，漏洞存在的上下文才是应该驱动优先级排序的关键。

例如，重要的是要询问受影响的资产是否面向互联网，是否支持关键业务功能，或者是否是供应链或第三方集成的一部分。

还值得考虑的是，该资产是活跃使用还是处于休眠状态，它是如何维护的，以及最终由谁拥有，这些细节有助于确定潜在泄露的可能性和影响。

最终，企业通过基于暴露和与关键操作的接近程度来优先排序，而不是仅仅基于签名扫描，将获得更大的价值。风险不仅仅是关于什么容易受到攻击;它是关于什么被暴露、可被利用以及对业务的重要性。

企业网D1net(www.d1net.com)：

国内主流的to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。