網路資產是構成資訊系統軟體、硬體、服務等資源的集合,是安全機制保護和安全管理的主體物件。作為安全領域中環境感知的一個重要組成部分,資產管理承擔著各類安全物件資料的載體及整個生命週期管理過程。
在網路安全領域,一個能真正有效幫助客戶實現資產安全管理的平臺,需要具備哪些關鍵能力?
一、查得清:已知資產、未知資產管理
要做資產管理,首先要完成對資產的發現、梳理工作。透過做IT規劃,對於網路中已知資產可以先行透過各類方式直接納入系統管理。對於已知資產使用者往往更關注變更,推薦使用人工維護、Agent方式能夠精確採集資產資訊,其中Agent方式能夠實時感知資產變化。而對於剩餘未知資產管理,使用者更關注資產發現,可透過主動發現對全網資產進行普查,透過被動發現“摸清”上線資產,利用情報廣譜搜尋網際網路資產。
在不同的網路場景下,有如下幾類成熟的資產採集技術手段可供選擇:
主動掃描
Agent採集
被動發現
情報採集
第三方平臺對接
人工錄入
1)主動掃描:透過主動掃描探針,對目標資產進行遠端探測掃描的方式,獲取其暴露資產相關資訊。此類方案一般會搭配遠端登陸一起使用,透過帳號、口令登入目標資產,執行命令並讀取和解析命令執行的結果可以自動獲取資產屬性資訊,此類方案適用於大多數網路場景。
2)Agent採集:透過Agent探針,在主機內部實時採集主機資產資訊,此方案的實時性、準確性最高,需要依賴額外的Agent探針部署,一般建議選擇部分已知資產重點部署。
3)被動發現:透過被動探針,如流量探針、日誌探針、採集挖掘網路資料中的資產資訊。流量分析方式一般作為一種補充技術手段對流量中關於資產的資訊進行分析。
4)情報採集:情報在網際網路資產的發現以及監控中發揮巨大作用,尤其適用於從網際網路角度探測暴露面資產。
5)第三方平臺對接:後續支援標準化介面,支援資產資料外發,支援其他第三方資產資料接入平臺。
6)人工錄入:支援離線檔案匯入,可事先定義好資產資訊一次性匯入,匯入時支援靈活的策略選擇,如覆蓋、合併等,對於錯誤資料會實時檢查給出提醒,方便使用者快速完成資產庫構建。
一般推薦以上各類資產發現手段的組合使用,能夠更全面、更準確的發現各類網路場景的資產資訊。
二、摸得透:資產管理生命週期持續管理
僅僅發現所有資訊是不夠的,怎麼合理利用多源發現手段的結果資訊?可考慮各來源資料的交叉驗證,不同場景下可信度調優對多源資料做融合分析,從而得到更準確、全面的資產屬性資訊。
當然,任何持續性工作才有意義,透過全生命週期資產持續監控,結合對基線庫的對比分析,識別資產變化,包括新增資產、變更資產、減少資產的識別,其中變更部分可感知資產埠變化、服務、應用變化等情況,因為對於企業來說變化資產也是最可能引入新風險的部分。需要重點識別關注針對不同管理階段的資產納入多種管理基線,動態衡量變更風險。
三、看得全:資產畫像
資產分層管理
在攻防視角下,企業需要從不同層面考慮資產關注資訊。
• 網路安全:網路裝置、網路隔離和網路邊界關係。
• 系統安全:系統資產、業務元件、APP框架、開發語言、備案。
• 資料安全:資料庫、資料防護措施。
• 網路拓撲:橫縱向網路訪問關係。
這就提出需要支援不同層次、不同粒度的資產管理,如支援應用資產、主機資產、網段資產、資產組合等,包括不同型別資產之間的資產關係、資產拓撲感知管理。這樣就可以用更立體多維的視角來感知網路資產。
多維資產安全畫像
資產作為安全保護物件,除了資產自身發現外,還需要從威脅感知、脆弱性感知等維度來收集彙總資產各個維度的風險資訊,包括但不限於:資產狀態、合規資訊、漏洞資訊、弱口令資訊、威脅資訊、異常行為資訊、異常屬性資訊等,使得對資產風險全貌有更全面的瞭解。
透過資產拓撲,感知威脅之間的橫向移動和攻擊滲透路徑,最大程度上評估風險影響。
透過資產畫像,可在新增威脅、情報、通報等情況下,快速定位受影響資產及資產歸屬,找到責任人,縮短事件響應時間。
資產風險量化分析
面對風險資料,怎麼快速識別最需關注的資產呢?還是需要進行風險量化,結合各資產上不同維度的風險資料,從威脅、脆弱性、資產風險三要素,計算單資產風險。在面向不同的運維需求,逐級量化評估單資產到業務域、網路域、整系統的風險,抓住安全風險的最薄弱環節,以指導後續運營工作進行。
四、管得了:資產運維處置
透過上述全面資產畫像及風險量化分析,可快速識別薄弱資產,進行重點安全加固及處置。對於資產畫像覆蓋的失陷資產事件、威脅事件、資產漏洞、異常資產事件等都應該提供便捷的快速下鑽檢視詳情能力。同時需要結合企業管理組織架構對應到系統靈活的分權分域管理,按照企業許可權劃分管理職責,將需要運維事件呈現給對應相關角色賬號,進行進一步運維工作。
面對大量安全事件,各類複雜風險情況實際運維時需要提供豐富的運維手段,以指導運維工作順利進行,包括但不限於下述方法:
1、透過威脅研判、漏洞優先順序分析、漏洞驗證等高階分析能力充分對風險資訊進行確認取證。
2、透過工單流轉系統,按需進行相關安全通報下發,不斷推進響應修復工作進行。
3、透過和各類安全裝置聯動,結合一鍵響應能力,攻擊源頭一鍵秒封,提升客戶安全運營整體效率,縮短運維響應時間。
4、透過SOAR自動化編排,將人、安全技術、流程進行深度融合。透過Playbook劇本串並聯構建安全事件處置的工作流,自動化觸發不同安全裝置執行響應動作。基於對安全事件上下文有更全面、端到端的理解,有助於將複雜的事件響應過程和任務轉換為一致、可重複、可度量和有效的工作流,變被動應急響應為自動化持續響應。
五、總結
整體方案以資產視角為切入點,結合豐富有效的資產發現手段,全面、準確的識別使用者網路資產資訊,透過持續監控稽查比對分析,識別資產變化情況,不斷完善企業資產管理基線。同時透過以資產為物件的風險資料匯聚,全面、立體描繪資產安全畫像,對企業風險做到一目瞭然,結合一鍵響應、工單管理、SAOR編排等完成對安全事件的有效閉環。