資產猶如企業(yè)的“家底”，資產管理是IT治理永恒的話題。精準的資產管理是網絡安全精細化管理的基礎，更是漏洞智能化管理的基礎。 相安無事時，資產管理為企業(yè)高效運營提供助力;遭遇網絡攻擊時，有效的資產管理為企業(yè)迅速阻斷網絡攻擊提供支撐。正所謂知己知彼，百戰(zhàn)不殆，摸清家底才是安全建設的基石。資產沒有管理，那和“咸魚”有什么區(qū)別。

資產

在《信息安全技術 信息安全風險評估規(guī)范 GB/T 20984-2018》、《ISO 27001:2013》相關規(guī)范中均對資產進行了明確定義，資產是指“對組織具有價值的任何東西” 。具體一點可以分為：有形資產和無形資產，有形資產包括“數(shù)據(jù)、信息系統(tǒng)、平臺或支撐系統(tǒng)、基礎設施”，無形資產包括“服務、人員管理、其它(聲譽、知識產權等)”。小編本次說的資產更多是有形資產中的信息系統(tǒng)、平臺或支撐系統(tǒng)以及基礎設施。

在安全運營工作中，安全資產管理起著關鍵的作用。在漏洞處置過程中，當出現(xiàn)1day漏洞后，漏洞的利用方式和影響范圍已經被曝光，此時業(yè)務系統(tǒng)處于最為脆弱的階段，如何搶在黑客之前將漏洞修復是最為緊迫的問題，倘若缺乏健全有效的資產管理方法和手段，將給企業(yè)的關鍵業(yè)務系統(tǒng)帶來巨大風險。

圖1 安全資產管理工作面臨的問題

安全資產管理的關鍵點

當下，資產安全管理主要面臨四大問題，即資產查不清看不全，資產屬性摸不準，資產的定位和歸屬找不到、缺乏完整管理流程導致資產問題管不了。

安全資產管理需要抓準以下關鍵點：

明確管理范圍

安全資產管理不是IT資產管理，雖然他們之間存在著交集，但其管理的信息和內容還是有所區(qū)分的，安全資產管理不必關心服務器的序列號、維保等信息，但需要關注運行的組件、版本，各節(jié)點之間的依賴關系和關聯(lián)關系。

確定資產位置及價值

識別組織的核心業(yè)務是安全資產管理的重點，并且需要根據(jù)業(yè)務的部署位置進行標識，如：互聯(lián)網、DMZ、內網等。不同的業(yè)務也具有不同的資產價值，組織需要根據(jù)自身實際情況定義資產價值。

建立自動化的識別手段

隨著云大物移的蓬勃發(fā)展，傳統(tǒng)的通過人工識別和維護的資產臺賬已經無法滿足當下的管理要求，我們需要構建更加高效、智能的自動化資產發(fā)現(xiàn)和識別手段來降低資產管理的難度。

制定規(guī)章制度

資產是動態(tài)變化的，IT資產更是如此，因此安全資產管理需要持續(xù)不斷的進行維護，為保障安全資產管理的持續(xù)有效，應建立適當?shù)墓芾硪?guī)范，但組織需要考慮規(guī)范的可操作性和可落地性。

一個合格的安全資產管理系統(tǒng)的標配

資產發(fā)現(xiàn)識別能力

傳統(tǒng)方式為人工發(fā)現(xiàn)，但已經無法滿足當下的實際需求，因此需要通過技術手段進行資產發(fā)現(xiàn)，資產發(fā)現(xiàn)主要包含“主動探測、流量發(fā)現(xiàn)、Agent獲取和第三方同步等方式”，資產發(fā)現(xiàn)能力應該是全面和精確的，需要避免“千里之堤，毀于蟻穴”類似情況發(fā)生，徹底消除隱匿資產的存在。

資產持續(xù)監(jiān)測能力

資產的配置會隨著業(yè)務的需求不斷變化，為保證安全資產信息的持續(xù)有效，必須具備對資產配置變更的監(jiān)測能力。

高危端口監(jiān)控能力

對于開放了3389(遠程桌面服務)、22(SSH服務)、21(FTP服務)、23(Telnet服務)等相關端口和服務，組織應重點關注，如非必須管理者應及時關閉，以減少資產的脆弱性降低風險事件的發(fā)生。

業(yè)務視角管理能力

安全資產管理，應基于組織業(yè)務架構進行全局視角的管理，站在業(yè)務視角將各類資產進行關聯(lián)，以業(yè)務的視角看到資產的安全問題。

靈洞讓“家底”活起來

華云安靈洞威脅與漏洞管理平臺Ai.Vul，具有完整的安全資產管理功能，具有資產識別、持續(xù)監(jiān)測、變更記錄等相關功能，能夠站在業(yè)務視角將資產進行關聯(lián)和監(jiān)管，通過漏洞與資產的結合完整的呈現(xiàn)出資產的安全問題。

圖 2 靈洞資產管理功能

資產識別

系統(tǒng)通過主動探測方式進行資產發(fā)現(xiàn)，并結合CPE指紋識別技術能夠精準識別廠商、產品及設備類型，能夠主動同步Agent和CMDB中的資產信息，做到對安全資產的全面管理。

持續(xù)監(jiān)測

系統(tǒng)會根據(jù)第一次的入庫信息建立資產基線，當資產信息發(fā)生變化時會通過消息機制傳遞至管理者，系統(tǒng)會記錄所有的資產變更信息并形成對比記錄供管理者審核。

高危監(jiān)控

系統(tǒng)會對高危端口/服務信息進行監(jiān)控，并對高危端口信息進行統(tǒng)計分析，管理者可根據(jù)統(tǒng)計結果進行處置。

業(yè)務關聯(lián)

系統(tǒng)能夠以業(yè)務視角管理安全資產，能夠建立資產和業(yè)務的關聯(lián)關系，并以可視化方式展現(xiàn)業(yè)務資產視圖。

漏洞關聯(lián)

安全資產管理最主要的目的就是關聯(lián)漏洞，當然還有威脅的處置，華云安靈洞Ai.vul提供了漏洞的全生命周期管理能夠將漏洞信息和資產及業(yè)務系統(tǒng)進行無縫關聯(lián)，真正做到了以業(yè)務視角監(jiān)管漏洞，從更高的維度看待安全問題。

圖 3 業(yè)務視角的資產漏洞管理——靈洞全知圖譜

結語

資產管理是安全的基礎，整個安全行業(yè)對資產管理的重視程度正在提高，只有做好資產“看清、看懂、看全”的能力，才能更好地保障業(yè)務安全，才能在遇到應急響應事件時做到“心里有底，遇事不慌”。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！