精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

任何希望管理安全風險的企業都需要理解自己究竟是如何被暴露的。企業運行的應用程序占據了這種攻擊的很大數量，這是因為應用程序漏洞以及錯誤配置都可能成為攻擊者的靶子。能夠正確的防御這些應用程序的要求是，在健全的風險管理發生之前，企業能夠確認攻擊面。

在確認應用程序的攻擊面時，我們必須首先判定哪些是企業范圍之內的，哪些是范圍之外的。企業部署了很多不同類型的應用程序，而且從風險管理的觀點來看，每種應用程序都被區別對待。常見的應用程序類型包括Web應用程序、Web和微服務、移動應用以及已部署的其它類型的軟件。根據軟件的來源不同，軟件也可區別對待。有些應用程序可以是本地開發的定制軟件，而有些可能是由第三方開發的軟件，或是商品化軟件，或者是由外部的大小廠商提供的外部軟件。非常重要的一點是，統計出企業應用程序的攻擊面中的任何云服務，這是因為這些服務常被用于存儲和管理敏感信息。

確定應用程序范圍的目標是，盡可能決定最全面的清單。確切地說，構建這個清單是一個反復的過程，并且很難真正地實現。為什么攻擊面的清查過程如此困難？在多數企業中，原有的應用程序是在調查開始之前就部署好了，這就需要分析人員在對已有的應用程序的“存貨”進行清查。此外，新的應用程序又在不斷地開發，或者由于公司的合并或收購而產生新的應用程序。云供應商和云服務還使得各種企業和行業以一種“去中心化”的方式獲得了更多的攻擊面。最后，在很多企業中，隨著現有的應用程序被重新設計和擴展，開發運維和其它的戰略構想還可能導致各種微服務和其它軟件攻擊而的激增。

那么，分析人員如何找到部署在企業中的應用程序呢？其方法依據企業而不同，但是企業的規?？赡苡绊懝裘嬉约肮裘娴陌l現方式。

大企業往往擁有更多的業務、服務和產品，而這些往往與應用程序的暴露密切相關。在小企業中，與其它部門（如會計部門）合作時，使用非技術手段也許更可行。企業所屬行業也可能影響到攻擊面。大型銀行或金融服務公司往往比大型的礦業公司擁有更多的定制軟件開發，因為后者往往依賴的是封裝好的軟件和大量的特定行業軟件。IT的成熟度和集中化會影響到確認應用程序的過程，由于擁有更高成熟度的公司其資產管理方法更好，因而其清查應用程序的起點就可能更好。

云的利用也影響到攻擊面的確認過程。未利用云服務的企業和依賴自有數據中心的企業可能更容易發現已部署的應用程序。不過，必須重視的趨勢是，企業日益將其大量的服務推送給云供應商，用以支持開發運維（DevOps）和其它的靈活性策略。

技術手段和非技術手段都可以確認應用程序。確認應用程序的技術方法可包括掃描數據中心的IP范圍，其目的是為了確認在網絡中存在哪些系統。目標nmap掃描與腳本的結合有助于為更多的人工分析提供起點。獲取web應用程序主頁的標志并進行審查可以知道基礎架構的不同部分部署了哪些應用。此外，檢查企業擁有域的DNS記錄也可以知道配置了哪些應用和服務。搜索應用商店也可以找到企業已經發布的移動應用。

確認應用程序的非技術手段包括與會計部門的協作，確認由云供應商管理的外部應用程序。還有一些廠商可以幫助企業分析和優化云計算的花費。與這些廠商協作的另一個作用是廠商還往往能夠幫助企業確認與未知的應用程序攻擊面有關聯的云計算花費。此外，分析人員可以與IT部門協作，可以檢查災難恢復計劃。如果一個系統足夠重要，以至于需要人員來保持持續運行，那么，監視其安全性也往往是很重要的事情。與來自不同業務的人員進行討論還往往能夠確定一些關于應用程序攻擊面的令人吃驚的信息。發現能夠增加攻擊面的應用程序的最佳方法往往就是與來自不同業務的人員進行內部的溝通。這種交流還可以使安全分析者找到他們了解的應用程序，也可以發現放棄老應用程序的一些機會，或者是安裝和部署新應用程序的可能性。對于一些IT部門不太成熟和不集中的企業來說，這往往是獲悉不斷演變的應用程序組合的重要方法之一。

在得到應用程序清單后，如何處理？技術上的發現向分析人員提供了決定攻擊面的原始材料。非技術方面的發現可以向分析人員提供關于應用程序和服務的很多有價值的元數據（元信息）。然后，分析人員就需要整合這些材料，其目標是形成一個清單，根據被管理的數據、業務的重要程度、有關的合規要求等對應用程序進行評級。這種補充的元數據可以為日后實施關于測試和修復的風險管理決策提供材料。

應用程序資產的管理過程是一個不斷重復的過程，無論是發現早期遺漏的信息，還是應對企業攻擊面的不斷演變問題，都是如此。甚至一個不完整的清單也要比根本不理解企業的攻擊面都要好得多，因為未知的攻擊面是無法防御的。