許多企業的安全團隊常陷入一個誤區,認為公司的資產清單已經足夠準確。然而,實務經驗告訴我們,資產清單的缺失往往是所有安全漏洞的根源。如果底層的資產清單是錯的,那麼後續所有的安全防護、漏洞修補與風險評估都會建立在錯誤的假設之上。
電信巨頭 Lumen Technologies 的經驗提供了一個極端的案例。他們原本認為公司內部約有 1.7 萬個資產,但在重新整合數據後,發現實際數量高達 110 萬台設備。這意味著他們原本遺漏了 60 倍的設備,而這些未被記錄的設備正是攻擊者最喜歡的切入點。
企業規模化後的資產管理崩潰原因
在大型企業中,資產管理之所以困難,是因為數據碎片化。Lumen 當時使用了超過 40 個獨立的 IT 與安全工具,每個工具記錄的數據片段都不同,且彼此之間並不統一。
當管理層詢問伺服器的 EDR(Endpoint Detection and Response,端點偵測與回應,用於監控端點活動並在受攻擊時快速反應的工具)覆蓋率時,安全團隊必須從多個互相矛盾的來源中提取數據。這種混亂導致在發生資產事故時,團隊根本不知道設備的擁有者是誰,導致回應速度極慢。
解決方案的核心在於建立單一可信視圖(Single Source of Truth)。Lumen 透過整合平台將這 40 多個系統的數據進行對齊與調節,將碎片化的設備資訊統一到一個模型中,才揭露了驚人的資產缺口。
從資產透明度到風險管理的實務轉型
有了準確的資產數據後,安全團隊可以將管理模式從單純的修補漏洞轉向更高效的暴露管理(Exposure Management)。
快速回應零日漏洞
當新的零日漏洞(Zero-day Vulnerability,指尚未有官方補丁且被公開或利用的漏洞)爆發時,速度決定勝負。在資產透明化之前,團隊需要花大量時間確認哪些設備受影響。現在,他們可以在數分鐘內確認受影響系統、是否對外暴露以及責任歸屬,並直接透過聊天機器人通知相關工程師。
從基礎設施視角轉向應用程式視角
單純知道某台伺服器是否安裝了補丁是不夠的。Lumen 建立了應用程式狀態儀表板(Application Posture Dashboard),將 CMDB(Configuration Management Database,配置管理資料庫,用於記錄 IT 資產及其相互關係的資料庫)的關係與漏洞數據結合。這讓團隊能從應用程式層級評估風險,了解某個漏洞會影響到哪個業務流程,進而將資產風險直接與公司營收掛鉤。
告別掃描與轟炸模式
傳統的漏洞管理常被稱為掃描與轟炸(Scan and Spam):掃描所有設備,產出數千頁的報告,然後僅根據 CVSS(Common Vulnerability Scoring System,通用漏洞評分系統,一種標準化的數值評分法)由高到低排序並要求修補。
這種做法的缺陷在於,許多高分漏洞在特定環境中可能根本無法被觸發,而某些中低分漏洞若位於關鍵路徑上,反而威脅更大。Lumen 改用基於風險的暴露管理,結合資產的重要性、業務關鍵度與現有的控制措施,優先處理能帶來最大風險降低的修補行動。
數據透明化對企業決策的影響
當資產數據變得可量化且可信時,安全團隊能獲得管理層更強大的支持:
雲端遷移決策:透過可視化系統的生命週期結束(End-of-Life, EoL)狀況,管理層意識到維護舊設備的風險過高,直接決定將大部分基礎設施遷移至雲端,使整體風險降低了 40%。
安全投資增加:當領導層看到真實的資產規模與防護缺口後,安全預算增加了約 10 倍,因為風險已從模糊的感覺變成了具體的數字。
董事會級別報告:資產覆蓋率、EDR 部署狀況與合規性指標現在成為董事會定期審查的關鍵報告內容。
給工程師的啟示
對於從事安全維運的工程師來說,這個案例提醒我們:不要過度信任現有的資產清單。如果你的漏洞優先級排序僅依賴 CVSS 分數,而缺乏對資產上下文(Context)的理解,你可能正在修補不重要的漏洞,而忽略了真正致命的威脅。
所有暴露管理程序的品質,都取決於底層資產數據的品質。如果基礎不牢,所有的優先級排序與修補流程都只是在進行猜測。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。