文 | 李鹏飞
目前大部分单位都无法准确地说出需要保护的资产数量,互联网暴露面很难梳理清楚,出现安全事件后无法第一时间定为到责任人,这些可以说是当前大部分组织的资产管理现状。
互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全事件响应与处置,这些日常安全运营与攻防对抗中的关键活动,都需要完善的资产信息的支撑。
暴露面管理混乱、颗粒度粗放、运营机制缺失等资产管理问题,已经严重制约了网络安全水平提升,成为阻碍当前网络安全建设与运营的一道鸿沟。
资产管理在安全运营中的不足
▼▼传统资产管理过程普遍缺乏攻击者视角
提到资产管理,大部分人想到的是以“财务为视角”的固定资产管理,信息科技人员则更多地会认为是以“运维为视角”的CMDB中资产管理。固定资产管理系统、CMDB系统在满足各自支撑业务领域起到了很好的作用,但对于以“网络安全为出发点”的资产管理需求相差甚远。
之所以这么说是因为,无论是固定资产系统,还是CMDB系统,都没有从攻击者视角来考虑需求。黑客在进行网络攻击前需要收集被攻击对象的互联网暴露域名、IP、端口、应用版本、URL、VPN入口、后台入口等关键信息。这些信息在固定资产系统、CMDB系统设计时基本上都是没有考虑的。
▼▼传统资产管理要素数据颗粒度普遍不足
目前大部分单位无论是用系统,还是用表格对资产进行管理,基本上都是以硬件设备、主机操作系统、业务应用系统这个颗粒度进行管理,对于一般性的财务与运维管理需求是足够了,但是对于网络安全需求来说这个资产管理的颗粒度还远远不够。
在网络安全运营及攻防对抗中,针对新出现的一个应用组件漏洞或安全攻击告警,需要通过资产管理定位受影响的业务、主机、应用,以及哪些在暴露在互联网上,哪些在DMZ域等等。类似的网络安全场景,在固定资产管理系统或CMDB系统是无法有效支撑的。
▼▼传统资产关键信息与安全风险关联不够
单维度的资产信息只是基础要素数据,必须与相关的业务关联才能产生价值,比如资产信息与财务关联才能进行固定资产的成本核算,比如资产信息与运维关联才能进行系统状态、性能、健康度的监控。同样,资产信息只有与风险要素关联后,才能在网络安全中发挥起应有的价值。
资产信息需要明确其安全保护价值,即保密性、完整性、可用性上的程度,并且需要与其存在的安全漏洞、安全基线配置弱点以及遭受的安全攻击信息相关联,才能综合评估资产整体的安全保护状态及所面临的风险程度。如果资产信息无法与风险要素进行关联,资产管理做的再好也对网络安全防护的用处不大。
资产管理在安全运营中的应用
▼▼场景一:为安全漏洞治理提供信息输入
资产管理与漏洞治理有着天然密不可分的关系,不管是用人工的方法进行漏洞扫描,还是利用安全漏洞治理平台进行闭环管理,都必须由资产管理为其提供必要的信息输入,而资产信息也同样贯穿于包括漏洞发现、漏洞评估、漏洞修复的整个安全漏洞治理过程。
全量资产信息为安全漏洞治理提供基础支撑,资产指纹方便安全漏洞情报能够被快速匹配定位,资产价值为安全漏洞处理优先级提供决策依据,资产所属业务与责任人则方便安全漏洞运营人员下发漏洞修复工单,并且方便安全漏洞修复效果验证。
▼▼场景二:为互联网暴露面风险管控提供便利
由于处于网络边界高风险区域,互联网暴露面资产无疑是安全攻防的焦点,因此,互联网暴露面风险控制是安全运营与防御的重中之重。想要做好互联网暴露面风险控制,一是尽量通过暴露面收敛降低风险,另外一个是通过对暴露面风险进行实时监控与动态防御。
资产管理能够实时、动态展现互联网暴露面资产情况,不但摆脱了人工+线下方式管理滞后、效率低下的问题,还能够通过与其它平台联动实时监控暴露面安全风险。提高了互联网暴露面收敛及常态化管理效率,有效降低了互联网暴露面安全风险。
▼▼场景三:为零信任细粒度安全控制提供决策基础
所谓“零信任”是在风险可控的基础上进行细颗粒度的灵活信任,因此零信任技术应用必须建立在完善的资产管理与权限管理(账号权限也是资产)的基础上。如果资产与权限管理成熟度不够,即便是所应用的零信任技术再好,也会因为缺乏必要的基础而效果大打折扣,无法真正有效运营起来。
资产的访问权限需求是随着业务变化而动态变化的,只有对资产与权限信息能够进行清晰、动态的管理,才能为零信任的“细颗粒度”提供管理基础。同样,资产与权限所面临的安全风险也是动态多变的,只有对资产与权限安全风险进行实时监测,才能为零信任的“灵活信任”提供决策基础。
▼▼场景四:为安全事件的应急处置提高闭环效率
安全建设要以资产为出发点进行风险控制,发生了安全事件以后,安全应急响应以及处置措施又会回到资产。在安全事件发生时,如果能够在第一时间确定受影响的业务与资产范围,对提高安全事件的分析研判的速度,以及采取应急处置的有效性至关重要。
通过资产管理中详细的资产属性信息,可以直接定位受安全事件影响的业务范围,快速确定相关业务管理人员及系统运维人员,这样才能够及时协调相关人员与安全人员一起,根据系统日志等信息进行安全事件排查研判,并及时采取相应的应急处置措施。
资产管理平台部署与运营实践
▼▼资产管理平台核心技术能力
网络安全资产管理类产品最为核心是资产的发现与识别能力,主要通过主动扫描探测、被动流量分析的方式,另外还可以通过与其它系统对接获取资产信息,主要考量资产发现的范围、深度以及准确性。
除资产发现与识别能力外,资产的标识能力同样重要,资产标识包括所属业务、应用、组织、责任人,以及资产类别、安全级别、部署位置、版本、IP、端口、域名等属性,以及据此生成的资产指纹特征。
发现与识别能力是资产管理基础,标识能力则决定了资产管理能够发挥的最大效用,除此之外资产管理系统的易用性、可视化展现以及系统自身性能以及对环境的影响也至关重要。
▼▼资产管理平台部署关键事项
随着企业信息化建设的发展,信息资产规模也发生了爆发似的增长,这对网络安全资产管理带来了不小挑战,正因如此选择分阶段地进行资产管理系统是比较好的选择。
资产管理最终目的是支撑网络安全管理与运营的,而网络安全的本质是识别并控制风险。基于这样的考虑,网络安全资产系统部署优先级,可以以风险因素为主进行评估。
互联网暴露面资产一直是攻击的入口,其所面临的安全风险也最大,可以说是安全防护的重中之重。因此可以最先考虑实施互联网暴露面资产管理系统,并同步规范互联网暴露面管理制度与机制。
后续可以在互联网暴露面资产管理系统的基础上,逐步按数据中心以及网络区域扩展部署范围,实施DMZ区、业务区等资产管理系统,最终形成全网统一的资产管理系统。
▼▼资产管理平台日常管理与运营
网络安全资产管理系统仅仅部署完成是远远不够的,必须围绕着系统建立良好的管理制度与运营机制,在解决资产管理历史遗留问题的基础上,将资产管理规范起来。
很多单位由于历史遗留原因,刚部署系统时会发现大量以前没有关注并且管理起来的资产,无法确定资产所属业务及责任部门,此时必须采取管理手段去逐步确认这些信息,以解决这部分存量问题。
同时,为了避免今后还会出现类似的问题,应考虑将资产管理与业务流程进行融合,这样才能保证系统上线下线、部门及人员职责变动等情况发生时,能够在资产管理系统中同步这些关键信息。
▼▼资产管理平台与其它平台联动
网络安全资产管理系统具备资产自动化探查、资产颗粒度与属性丰富的特点,不仅可以为其它系统丰富资产的域名、IP、端口、应用版本、URL、VPN入口、后台入口等关键信息,还可以输出资产动态变化信息。
网络安全资产管理系统最大的优势是能够进行资产、安全漏洞、安全告警之间的关联,进而能够支撑资产漏洞识别与处置,辅助安全风险与事件处置,这些无疑给日常安全管理与运营工作带来了极大的便利。
泛数字化资产管理与保护
▼▼结构化与非结构化数据的管理
一般情况在讨论资产管理时,更多还是硬件、软件资产为主,并不包含数据类资产。但无论是结构化数据,还是非结构化数据,都是企业的重要资产,具有比软件、硬件等实物资产更高的价值。既然这样,数据资产也就需要对其进行识别与管理。
数据资产的识别以及分类、分级是一个老生常谈的话题,十多年以前很多单位就已经开展了这方面的工作,定义数据类别、级别标准并进行数据梳理等。但由于数据量巨大、分类分级颗粒度不够、缺乏有效工具支撑等原因,很少有单位能够取得比较好的效果。
对于非结构化数据,在进行类型与级别的定义后,需要给出尽量多的举例进行参考,使得数据的创建者能够进行必要的密级与传阅范围的标注。同时,良好的数据分类、分级标准,也可以输入给数据防泄露及文档加密产品,作为数据安全控制实施策略的依据。
对于结构化数据,主流数据安全厂商均有数据发现产品,可以根据定义好的分类分级标准,采用主动网络扫描与授权账号读取的方式,自动化对数据进行识别。为敏感数据资产发现、分布展示,以及数据安全的监控、审计,提供良好的基础支撑作用。
▼▼重要系统与应用账号权限管理
将账号权限定义成资产可能会让很多人费解,但它确实是安全上重要的保护对象。同时在账号权限管理最佳实践标准中,也会要求形成并维护账号权限清单,对账号权限进行必要的分类,并且需要定期进行清查。所有这些的管理措施,都与资产管理思路没有什么区别。
如果能够建成IAM或4A系统,会给账号权限管理带来大大的方便性。如果没有统一身份认证系统,由于设备、系统、应用等都涉及到账号权限,给统一账号权限管理带来了一定的困难性,只能选取VPN、堡垒机、域控及重要应用系统优先建立管理机制。
账号权限管理机制可以在SIEM(或UEBA)中完成,也可以在自身系统中实现。比较好的做法是应用系统集成在自身功能中,设备、操作系统等非应用账号管理集成到SIEM(或UEBA)中。账号权限管理机制包括建立账号权限清单、管理授权期限、监测账号行为异常活动等。
▼▼企业知识产权与数字品牌保护
信息资产中还有一类叫无形资产,知识产权、数字品牌就属于无形资产。源代码、重要文档资料被上传互联网属于知识产权受损,钓鱼网站、假冒APP、品牌滥用则属于数字品牌受损。知识产权与数字品牌保护不善,不但影响企业自身的形象,还可能带来实质性的利益损失。
目前很多机构通过SaaS方式提供知识产权与数字品牌保护服务,对代码站点、知识社区、应用商店等进行持续在线监控,发现知识产权泄露与数字品牌侵权事件能够实时预警,提供风险预警数据与事件分析报告,并提供知识产权与数字品牌保护服务处置服务。
结 语
网络安全领域流传很广的一句话“你无法保护你看不见的东西”。资产管理水平决定了网络安全运营能力的上限,大量的事实说明资产不清晰已经成为阻碍当前网络安全建设的一道鸿沟,如果资产搞不清楚,安全工作就会有一个很大的瓶颈无法突破。
良好的资产管理能够有效支撑互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全事件响应与处置,这些日常安全运营与攻防对抗中的关键活动。这无疑给日常安全管理与运营工作带来了极大的便利,可以说网络安全资产管理是高质量安全管理与运营的基础。
声明:本文来自微言晓意,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。