SOC第三防御阶段--了解企业资产

在第一阶段中，我们讲解了基本的防御机制，建议每个企业和机构都应该做到这一点。

在第二阶段中，我们讲解了对所遇到的现代恶意软件行为的理解及其重要性。

今天，我们进入第三阶段，我们将讲解理解企业资产的重要性，以提供更好的安全防护。

大部分攻击者，都是基于他们在企业资产中找到的漏洞来创建不同的恶意软件和编写脚本工具的。然后，他们针对企业攻击面发起攻击。攻击面是发起攻击的地方，可能是资产，或者路径，或者是连接点。所以，攻击者肯定会研究你的企业资产，然后选择一个最佳攻击路线。

同样，SOC团队也必须学习企业资产，知道资产的位置。

按理来说，SOC团队必须知道设备的部署位置，连接方式，共有多少网络区域，了解整个网络路由和映射，设备如何进行托管的，可公开访问的服务器数量，有多少正在运行的服务器存在已知漏洞，我的企业使用哪种OS平台(Linux，Mac，Windows，Solaris，AIX等)，服务器的物理位置，何谓BCP计划，网络架构中可能存在什么漏洞，共有多少终端，终端是如何连接的，服务器采取了何种保护，SOC工具是如何保护整个企业资产的，了解防火墙规则和策略的有效期，VPN控制等等。

大部分企业的资产基本分类如下：

网络：

· LAN区

· DMZ区

· WAN区

· 互联区

· 受限制区

数据库：

· 内部数据库

· 公开可访问数据库

· 受限制的数据库

应用程序：

· 内部应用

· 公开可访问应用

· 自定义应用

IOT：

· 与局域网连接的设备（内部）

· 与广域网连接的设备（公网可访问）

· 访问受限的设备

常用操作系统终端和服务器：

· Window平台

· Linux平台

· Solaris平台

· AIX平台

· Symbian平台

安全设备分类和企业常用的防护措施如下：

总结

企业资产和安全措施的每一个分类，我们都应该要了解。SOC团队需要将这些点都关联起来以提供更好的防御。

SOC无法直接访问企业策略和安全保护，但是基于曾经被入侵和攻击的历史，在SOC团队的指导下，企业策略是可以进行重新修改的。