不当“咸”鱼,华云安让“家底”活起来

资产犹如企业的家底 , 资产管理是IT治理永恒的话题 。 精准的资产管理是网络安全精细化管理的基础 , 更是漏洞智能化管理的基础 。 相安无事时 , 资产管理为企业高效运营提供助力;遭遇网络攻击时 , 有效的资产管理为企业迅速阻断网络攻击提供支撑 。 正所谓知己知彼 , 百战不殆 , 摸清家底才是安全建设的基石 。 资产没有管理 , 那和咸鱼有什么区别 。
资产
在《信息安全技术 信息安全风险评估规范 GB/T 20984-2018》、《ISO 27001:2013》相关规范中均对资产进行了明确定义 , 资产是指对组织具有价值的任何东西 。 具体一点可以分为:有形资产和无形资产 , 有形资产包括数据、信息系统、平台或支撑系统、基础设施 , 无形资产包括服务、人员管理、其它(声誉、知识产权等) 。 小编本次说的资产更多是有形资产中的信息系统、平台或支撑系统以及基础设施 。
在安全运营工作中 , 安全资产管理起着关键的作用 。 在漏洞处置过程中 , 当出现1day漏洞后 , 漏洞的利用方式和影响范围已经被曝光 , 此时业务系统处于最为脆弱的阶段 , 如何抢在黑客之前将漏洞修复是最为紧迫的问题 , 倘若缺乏健全有效的资产管理方法和手段 , 将给企业的关键业务系统带来巨大风险 。
不当“咸”鱼,华云安让“家底”活起来
图1 安全资产管理工作面临的问题
安全资产管理的关键点
当下 , 资产安全管理主要面临四大问题 , 即资产查不清看不全 , 资产属性摸不准 , 资产的定位和归属找不到、缺乏完整管理流程导致资产问题管不了 。
安全资产管理需要抓准以下关键点:
明确管理范围
安全资产管理不是IT资产管理 , 虽然他们之间存在着交集 , 但其管理的信息和内容还是有所区分的 , 安全资产管理不必关心服务器的序列号、维保等信息 , 但需要关注运行的组件、版本 , 各节点之间的依赖关系和关联关系 。
确定资产位置及价值
识别组织的核心业务是安全资产管理的重点 , 并且需要根据业务的部署位置进行标识 , 如:互联网、DMZ、内网等 。 不同的业务也具有不同的资产价值 , 组织需要根据自身实际情况定义资产价值 。
建立自动化的识别手段
随着云大物移的蓬勃发展 , 传统的通过人工识别和维护的资产台账已经无法满足当下的管理要求 , 我们需要构建更加高效、智能的自动化资产发现和识别手段来降低资产管理的难度 。
制定规章制度
资产是动态变化的 , IT资产更是如此 , 因此安全资产管理需要持续不断的进行维护 , 为保障安全资产管理的持续有效 , 应建立适当的管理规范 , 但组织需要考虑规范的可操作性和可落地性 。
不当“咸”鱼,华云安让“家底”活起来
一个合格的安全资产管理系统的标配
资产发现识别能力
传统方式为人工发现 , 但已经无法满足当下的实际需求 , 因此需要通过技术手段进行资产发现 , 资产发现主要包含主动探测、流量发现、Agent获取和第三方同步等方式 , 资产发现能力应该是全面和精确的 , 需要避免千里之堤 , 毁于蚁穴类似情况发生 , 彻底消除隐匿资产的存在 。
资产持续监测能力
资产的配置会随着业务的需求不断变化 , 为保证安全资产信息的持续有效 , 必须具备对资产配置变更的监测能力 。
高危端口监控能力
对于开放了3389(远程桌面服务)、22(SSH服务)、21(FTP服务)、23(Telnet服务)等相关端口和服务 , 组织应重点关注 , 如非必须管理者应及时关闭 , 以减少资产的脆弱性降低风险事件的发生 。
业务视角管理能力
安全资产管理 , 应基于组织业务架构进行全局视角的管理 , 站在业务视角将各类资产进行关联 , 以业务的视角看到资产的安全问题 。