资产管理是 并未明确列出 在英国网络安全基础知识的五项控制措施中。然而,NCSC 强调有效的资产管理 对成功实施所有五项控制措施至关重要。它还建议资产管理与网络安全应当一起进行,而非作为独立活动。
在网络安全基础知识的最新版本(版本 3.1)更新中,NCSC 突出强调了资产管理的重要性。 它还提供了详细的 指南 说明如何通过有效的资产管理显著提升组织的网络安全态势。
下表展示了 Endpoint Central 如何构建以实现有效的资产管理。
| 主题 | 描述(摘自 NCSC 网站) | Endpoint Central 如何发挥作用 |
| 风险管理 | 理解和管理网络风险依赖于资产是否被准确记录。如果资产未被注意到,将无法发现是否缺少适当的安全控制,导致风险无法管理。 | Endpoint Central 具有漏洞存续时间矩阵和 漏洞严重性摘要,可提供补丁实施的丰富洞见。此外,Endpoint Central
还提供关于易受攻击系统和缺失补丁的综合报告。 对于信息系统,Endpoint Central 提供基于风险的漏洞管理,使管理员能够根据 CVSS 评分、CVE 影响类型、补丁可用性等指标优先处理漏洞。 |
| 旧系统管理 | 所有软件和硬件最终都会过时。继续使用过时产品会带来更高风险或增加成本以减轻这些风险。资产管理帮助组织识别系统的支持终止时间并进行规划。我们的 过时产品指南 可以帮助进一步管理旧资产。 |
Endpoint Central 能帮助管理员追踪 高风险软件 ,例如过时软件、点对点软件、不安全的远程共享软件,并予以清除。 Endpoint Central 还能扫描 Windows 11 不兼容设备 关于 Endpoint Central 如何帮助管理和保护旧设备的详细说明,请参阅 |
| 识别用户和设备是实施有效身份与访问管理系统的前提。资产管理有助于确保所有用户和设备具备唯一身份,也有助于识别需要访问控制的资源。详情请见我们的 | 身份与访问管理简介 。 Endpoint Central 使组织能够采用最小权限原则,提供强大的 |
端点权限管理 功能。 这包括特定应用权限控制和即时访问权限授予给终端用户。 它实施 条件访问策略 对于 IT 管理员和安全运维团队,Endpoint Central 通过 |
| 确保网络系统不包含已知漏洞是最有效的防御措施之一,因为这些漏洞是容易被攻击的点。准确的硬件和软件资产信息为确保及时应用补丁和明确扫描漏洞位置奠定基础。对于高影响漏洞公布时,能快速回答“漏洞 X 是否影响我们?”的问题也非常有用。请参见我们的 | 漏洞管理 漏洞扫描工具与服务 多因素认证 (MFA) 指南了解更多内容。 Endpoint Central 在持续评估和威胁可视化方面提供全面的漏洞管理,并内建检测漏洞的补救措施。 |
对所有信息系统,Endpoint Central 提供 基于风险的漏洞管理 ,使管理员能够根据 CVSS 评分、CVE 影响类型、补丁可用性等指标优先处理漏洞。 |
| 有些威胁无法被阻止,因此能够检测和调查潜在入侵,并随后缓解威胁非常重要。有效的监控能力依赖于获取正确的数据。资产管理有助于识别相关数据源和丰富信息,这些对监控能力至关重要。我们的 | 安全日志记录简介 日志记录与 保护性监控 多因素认证 (MFA) 指南可以提供更多帮助。 Endpoint Central 拥有全面的 |
报告功能 。除提供端点资产的深入洞察外,还可用于合规治理和审计目的。对关键计算机及敏感应用的审计方面,用户登录报告可帮助管理员跟踪用户对关键端点的访问情况。 DPO 仪表盘 |
| 了解资产情况并确定哪些对组织最为关键,帮助 | 规划、响应和恢复事件 。确保关键事项不被遗漏且正确的信息可用,您将能快速采取行动并将干扰降至最低。 Endpoint Central 可以隔离表现出可疑行为的端点,并在彻底的取证分析后恢复部署。 | 其他 |
| 大多数业务运营在某种程度上依赖资产管理,包括 IT 运营、财务核算、软件许可管理、采购和物流。虽然需求各有侧重,但各需求之间存在重叠和依赖。安全方面不应孤立考虑或仅作为资产信息的主要使用方,将资产管理整合并协调于全组织能帮助减少或管理这些职能间的冲突。 | 使用 Endpoint Central,管理员可以分析软件使用时长及使用次数。通过这些洞察,他们可以做出明智的软件采购决策,同时掌握 IT 高峰使用趋势。 |
Endpoint Central 具备许可管理功能,可评估用户的软件许可是否充足。 另外,它允许管理员跟踪即将到期及已过期的软件许可。 |
组成部分
| 资产发现 | 描述(摘自 NCSC 网站) | Endpoint Central 如何发挥作用 |
| 定期或持续使用工具扫描您的环境,以发现新增、修改或移除的资产。这有助于保持资产库存的准确性,并能检测未经授权的环境变更。 | Endpoint Central 通过其代理获取 IT 环境中资产的完整详情。 |
请参阅 Endpoint Central 用于监控 IT 的 资产扫描类型 。 管理员可配置资产变更警报,以便在 IT 网络内发生未经授权的更改时收到通知。 |
| 权威信息来源 | 维护一份得到所有人认可反映实际环境的资产记录。考虑规范化和整合资产信息以避免重复,提高可访问性。确保收集的信息能被所有相关方有效使用,无需额外验证工作。 | 报告功能 。除提供端点资产的深入洞察外,还可用于合规治理和审计目的。对关键计算机及敏感应用的审计方面,用户登录报告可帮助管理员跟踪用户对关键端点的访问情况。 |
| 准确的信息来源 | 应定期收集资产信息,确保信息保持最新,并记录“可信度”评分或“最后见时间”,以反映信息的时效性或不确定性。服务器信息更新频率可适当较低(例如每周一次),因变动不频繁,但桌面信息可能需要每日收集,用于配置核查或漏洞管理。 |
被 Endpoint Central 管理的计算机 每隔 90 分钟报告一次,或在用户登录及端点开机时上报。 资产信息的可用性 |
| 确保资产信息可用于支持组织内的相关使用场景。配置管理数据库(CMDB)可能是资产管理解决方案的重要组成部分,但可能还需配合多种工具以便在组织内部收集、处理、存储及使用资产数据。 | Endpoint Central 可与 ManageEngine ServiceDesk Plus 无缝集成 |
,扩展并丰富 Endpoint Central 的资产管理能力。 人为因素. 监控 |
| 资产管理流程应满足组织内部用户需求,考虑可用性和可访问性等人为因素。应采取务实做法,避免过度官僚。利用资产信息优化业务流程,有助于激励用户积极参与资产管理,防止因用户绕开流程产生影子 IT,从而保证资产信息准确性。 | Endpoint Central 利用最小权限原则,具备强大的 |
端点权限管理 功能,提供按应用权限管理及即时用户访问授权。 它拥有 验证授权用户访问关键业务系统和数据的能力。 条件访问策略 自动化 |
| 应尽可能使用自动化机制更新资产记录。理想情况是在环境变更时自动记录资产信息,而非事后检测变化。新项目应从一开始就集成自动资产管理,避免随时间推移造成技术债务,确保记录准确且更新及时,减少持续的成本和工作量。 | 管理员可以配置 | 资产变更警报 ,若 IT 网络内发生未经授权的更改则触发提醒。 完整性 |
| 确保资产管理流程覆盖所有资产,包括物理、虚拟和云资源,以及组织互联网存在的部分,如社交媒体账号、域名注册、IP 地址空间和数字证书。这有助于避免资产未配置适当安全控制,满足合规和漏洞扫描的要求。 | Endpoint Central 与 ManageEngine ServiceDesk Plus 无缝集成,增强并丰富资产管理能力。 | Endpoint Central 也可与 ManageEngine Asset Explorer 等 ITAM 解决方案集成。 全面可视化 |
| 确定组织如何使用资产信息,确保收集足够详细的资产数据支持使用场景。例如,了解所有安装软件的版本比仅知晓操作系统版本能识别更多漏洞。若某些细节难以或成本高昂,应考虑降低采集频率或事后采集,同时辅以网络分段等缓解措施,确保资产数据有效且不因采集缺失而失效。 | Endpoint Central 的资产收集极为全面。如前所述,能采集网络中各类软件版本。 | 不仅如此,它还能为 1000+ 软件提供补丁,且能识别漏洞。 变更检测 |
| 确保资产信息变更被记录,利用多数据源识别不一致。例如,网络中新出现的设备却无相应设备管理登记,有助于识别未授权变更和支持安全事件调查。 | Endpoint Central 的 | 资产变更警报 ,若 IT 网络内发生未经授权的更改则触发提醒。 完整性 管理范围 是您 IT 资产中所有计算机的唯一可靠信息源。如果 Active Directory 或工作组中新增或删除计算机,管理员可配置通知。 保密性 |
| 考虑所收集资产数据的敏感性。实施适当保护和访问限制,同时保障相关使用场景。举例来说,所有用户应能查询所负责资产,但应防止任意批量查询。考虑监控资产数据访问,防范侦察行为,确保数据既高效使用又难被潜在攻击者利用。 | 企业可利用 Endpoint Central 的 | RBAC 功能 。可为资产管理模块单独分配管理员权限,同时禁用其对其他模块的访问。同样,拥有其他模块访问权限的管理员/技术人员可能被限制访问资产管理模块。 使用前登记 |
| 应在首次使用前或使用时收集资产信息。可通过流程和检测机制强制执行。例如,仅为登记资产发放证书身份,阻止未登记设备认证其他系统。这降低了影子 IT 产生的风险,使未登记资产难以进入和留存于环境中。 | Endpoint Central 的管理范围作为 IT 资产中所有计算机的唯一可靠信息源。如果在您的 Active Directory 或工作组中新增或删除计算机,管理员可配置通知。 | Endpoint Central 具备对 BYOD 设备的登记和管理功能。 资产分类 |
| 考虑定义并使用类别对资产进行分类,应与风险管理方法保持一致。例如,根据处理信息的敏感性或是否支持关键业务功能对系统分类,有助于识别相关安全控制和监控安全策略遵从情况。 | Endpoint Central 提供多种资产分类方式: |
自定义组 Endpoint Central 拥有 系统隔离 功能,可基于操作系统补丁、已安装/卸载软件、检测到的漏洞等对系统进行隔离。 feature, which can quarantine systems based on OS patches, Software installed / uninstalled, Vulnerabilites detected, etc. |
监控
