iT邦幫忙

2024 iThome 鐵人賽

DAY 1
1
Security

資安銷售系列 第 1

打起來 , 打起來 ! Fighting !

  • 分享至 

  • xImage
  •  

這個標題下的好似我是好戰份子,fighting,fighting ...
但資安人不就是如此的生活嗎 ! 而我們資安業務也時時與客戶做意見交換(軟性針鋒相對)。
今天分享的是在一個不經意的優規項目提供事件,造成客戶內部的騷動。
優規品名: 外部攻擊面管理 ( EASM : External Attack Surface Management)
這二年間,我們大力推行這項檢測,但客戶的回應都是不想做、不要做、看不懂、主管没要求。
就在這淡然的日子中,突然有一客戶為了這檢測大打出手了。
出現機率大約1/50。
騷動事件

  1. 資安科一線主管與資安長大吵起來,資安小員看不下去只好向我們資安顧問求救。外來和尚會唸經。
  2. 資安顧問做為第三方,期望可以緩解雙方的憂慮 : 資安人對於風險的恐懼、資訊人對於少做少錯的信仰。
  3. 於是顧問寫了一篇說明文章:
    • 風險不是缺失 ; 缺失是有明確違反規範或法規的證據,而風險則是尚未發生識別的風險情境下的預期可能。
      風險必需考量該項風險對機關的衝擊性與資源的提供,亦可以「補救措施」來降低風險發生時的損害。
    • 風險揭露不可怕 ; 視各項資源與可行性,由管理人員提出對應的風險處理方式(如降低風險、接受風險、轉 移風險或避免風險),以期全方位的提出風險處理規劃,降低資安風險。
      外部攻擊面管理(EASM)是啥咪?
      Gartner將EASM定義為“為發現企業面向外部的資產和系統可能存在的漏洞而部署的流程、技術和專業服務"
      EASM檢測項目
      大致分為 5 大類別:網路服務、網站、電子郵件、帳號密碼和雲端安全。
      如何檢測
      提供URL即可,大約15分鍾即可在外爬出與這URL相關的資料 , 完全不影響網站,只對外收集。
      風險案例
      1.電子郵件 : 沒有 SPF 紀錄:請為您的網域設定 SPF 紀錄 ;
      2.電子郵件 : 未找到 DMARC 紀錄。DMARC 紀錄是一筆 DNS 文字(TXT)記錄,幫助讓發信端和收信端雙方可 確認對方身分,可用於防止詐騙和網路釣魚。
      3.帳號密碼 : 檢測到您的帳密在外洩事件中被公布。建議可參考政府零信任政策,導入多因子驗證機制,避免單 一密碼外洩風險。
      風險等級
      報告提供風險矩陣圖,以符合即時區域的趨勢,可以根據各自風險承受程度,設定不同的風險處理優先順序。
      國際合規標準
      分析您的資安態勢是否符合國際合規標準,包括 ISO27001 (資訊安全管理系統)、GDPR (歐盟一般資料保護 條例)、PCI DSS (支付卡產業資料安全標準) 和 NIST CSF (美國網路安全框架。
      我的想法
      買不起暗網情資,先買EASM,只是深度及廣度比較小,但便宜很多。
      如果可以逐一修復也是一大豐功偉業,總比做了高檔的檢測但卻望而卻步的好。

下一篇
新冠疫情與零信任的親親~~
系列文
資安銷售31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言