資產猶如企業的“家底”,資產管理是IT治理永恒的話題。精準的資產管理是網絡安全精細化管理的基礎,更是漏洞智能化管理的基礎。相安無事時,資產管理為企業高效運營提供助力;遭遇網絡攻擊時,有效的資產管理為企業迅速阻斷網絡攻擊提供支撐。正所謂知己知彼,百戰不殆,摸清家底才是安全建設的基石。資產沒有管理,那和“咸魚”有什么區別。
資產
在《信息安全技術 信息安全風險評估規范 GB/T 20984-2018》、《ISO 27001:2013》相關規范中均對資產進行了明確定義,資產是指“對組織具有價值的任何東西”。具體一點可以分為:有形資產和無形資產,有形資產包括“數據、信息系統、平臺或支撐系統、基礎設施”,無形資產包括“服務、人員管理、其它(聲譽、知識產權等)”。小編本次說的資產更多是有形資產中的信息系統、平臺或支撐系統以及基礎設施。
在安全運營工作中,安全資產管理起著關鍵的作用。在漏洞處置過程中,當出現1day漏洞后,漏洞的利用方式和影響范圍已經被曝光,此時業務系統處于最為脆弱的階段,如何搶在黑客之前將漏洞修復是最為緊迫的問題,倘若缺乏健全有效的資產管理方法和手段,將給企業的關鍵業務系統帶來巨大風險。
圖1 安全資產管理工作面臨的問題
安全資產管理的關鍵點
當下,資產安全管理主要面臨四大問題,即資產查不清看不全,資產屬性摸不準,資產的定位和歸屬找不到、缺乏完整管理流程導致資產問題管不了。
安全資產管理需要抓準以下關鍵點:
明確管理范圍
安全資產管理不是IT資產管理,雖然他們之間存在著交集,但其管理的信息和內容還是有所區分的,安全資產管理不必關心服務器的序列號、維保等信息,但需要關注運行的組件、版本,各節點之間的依賴關系和關聯關系。
確定資產位置及價值
識別組織的核心業務是安全資產管理的重點,并且需要根據業務的部署位置進行標識,如:互聯網、DMZ、內網等。不同的業務也具有不同的資產價值,組織需要根據自身實際情況定義資產價值。
建立自動化的識別手段
隨著云大物移的蓬勃發展,傳統的通過人工識別和維護的資產臺賬已經無法滿足當下的管理要求,我們需要構建更加高效、智能的自動化資產發現和識別手段來降低資產管理的難度。
制定規章制度
資產是動態變化的,IT資產更是如此,因此安全資產管理需要持續不斷的進行維護,為保障安全資產管理的持續有效,應建立適當的管理規范,但組織需要考慮規范的可操作性和可落地性。
一個合格的安全資產管理系統的標配
資產發現識別能力
傳統方式為人工發現,但已經無法滿足當下的實際需求,因此需要通過技術手段進行資產發現,資產發現主要包含“主動探測、流量發現、Agent獲取和第三方同步等方式”,資產發現能力應該是全面和精確的,需要避免“千里之堤,毀于蟻穴”類似情況發生,徹底消除隱匿資產的存在。
資產持續監測能力
資產的配置會隨著業務的需求不斷變化,為保證安全資產信息的持續有效,必須具備對資產配置變更的監測能力。
高危端口監控能力
對于開放了3389(遠程桌面服務)、22(SSH服務)、21(FTP服務)、23(Telnet服務)等相關端口和服務,組織應重點關注,如非必須管理者應及時關閉,以減少資產的脆弱性降低風險事件的發生。
業務視角管理能力
安全資產管理,應基于組織業務架構進行全局視角的管理,站在業務視角將各類資產進行關聯,以業務的視角看到資產的安全問題。
靈洞讓“家底”活起來
華云安靈洞威脅與漏洞管理平臺Ai.Vul,具有完整的安全資產管理功能,具有資產識別、持續監測、變更記錄等相關功能,能夠站在業務視角將資產進行關聯和監管,通過漏洞與資產的結合完整的呈現出資產的安全問題。
圖 2 靈洞資產管理功能
資產識別
系統通過主動探測方式進行資產發現,并結合CPE指紋識別技術能夠精準識別廠商、產品及設備類型,能夠主動同步Agent和CMDB中的資產信息,做到對安全資產的全面管理。
持續監測
系統會根據第一次的入庫信息建立資產基線,當資產信息發生變化時會通過消息機制傳遞至管理者,系統會記錄所有的資產變更信息并形成對比記錄供管理者審核。
高危監控
系統會對高危端口/服務信息進行監控,并對高危端口信息進行統計分析,管理者可根據統計結果進行處置。
業務關聯
系統能夠以業務視角管理安全資產,能夠建立資產和業務的關聯關系,并以可視化方式展現業務資產視圖。
漏洞關聯
安全資產管理最主要的目的就是關聯漏洞,當然還有威脅的處置,華云安靈洞Ai.vul提供了漏洞的全生命周期管理能夠將漏洞信息和資產及業務系統進行無縫關聯,真正做到了以業務視角監管漏洞,從更高的維度看待安全問題。
圖 3 業務視角的資產漏洞管理——靈洞全知圖譜
結語
資產管理是安全的基礎,整個安全行業對資產管理的重視程度正在提高,只有做好資產“看清、看懂、看全”的能力,才能更好地保障業務安全,才能在遇到應急響應事件時做到“心里有底,遇事不慌”。
