一、前言

　　每一個(gè)做安全資產(chǎn)管理的同學(xué)們，都一個(gè)終極夢(mèng)想，那就是掌握所有信息資產(chǎn)。為什么要掌握所有的安全資產(chǎn)呢，因?yàn)樽龇朗氐耐瑢W(xué)們有一個(gè)邏輯，掌握全量資產(chǎn)才有可能掌握資產(chǎn)上的風(fēng)險(xiǎn)和隱患。為什么說是夢(mèng)想呢？每一代想挑戰(zhàn)安全資產(chǎn)管理的人也不少，關(guān)于安全資產(chǎn)管理的實(shí)踐也多如牛毛，但至今未見圈內(nèi)有最佳實(shí)踐?？梢娮龊冒踩Y產(chǎn)管理的難度不是一般的大。此前有些實(shí)踐基礎(chǔ)，文章定名進(jìn)階實(shí)踐。

　　二、為什么要做

　　第一、解決安全度量中的覆蓋率計(jì)算問題。

　　覆蓋率計(jì)算時(shí)，需要全量的資產(chǎn)作為分母。比如，終端上的網(wǎng)絡(luò)準(zhǔn)入、防病毒、EDR等。服務(wù)器上的防病毒、HIDS等。統(tǒng)計(jì)安全度量數(shù)據(jù)時(shí)，資產(chǎn)是分母。沒有全量資產(chǎn)，統(tǒng)計(jì)出的度量數(shù)據(jù)，沒有公信力。

　　第二、解決漏洞情報(bào)響應(yīng)中的資產(chǎn)定位和影響分析問題。

　　前兩年曾設(shè)想過，漏洞情報(bào)出現(xiàn)時(shí)，如果能直接關(guān)聯(lián)資產(chǎn)數(shù)據(jù)，可直接確定受影響范圍，再配合SOAR直接分發(fā)工單。受漏洞利用條件、資產(chǎn)數(shù)據(jù)不完整的影響，一直不曾實(shí)現(xiàn)。

　　在響應(yīng)過程中，還被質(zhì)問「我的Java版本不受影響，為啥發(fā)工單給我？」。問題是收到漏洞情報(bào)響應(yīng)時(shí)，需要有軟件、中間件、JAR包的版本號(hào)判斷影響范圍。需要有啟動(dòng)用戶、關(guān)聯(lián)軟件版本、配置文件、插件版本等資產(chǎn)判斷是否可利用。需要互聯(lián)網(wǎng)開放情況判斷處置優(yōu)先級(jí)。天知道你是啥配置??？

　　第三、解決告警處置中的人員、資產(chǎn)定位問題，為分析提供支撐。

　　出現(xiàn)入侵告警時(shí)，需要有資產(chǎn)負(fù)責(zé)人的姓名、電話、IAM賬號(hào)、人員經(jīng)理信息，溝通確認(rèn)是否為攻擊行為，排查是否為誤報(bào)（有可能是員工操作）。若非員工操作，確認(rèn)為攻擊者行為，排查被攻擊的漏洞是否存在（有可能是掃描器），需要有軟件、中間件、框架、組件、JAR包等資產(chǎn)信息支撐。

　　第四、解決事件響應(yīng)中的漏洞定位問題，為分析提供支撐。

　　如有攻擊成功，進(jìn)入響應(yīng)階段。需要排查進(jìn)程、端口、啟動(dòng)項(xiàng)、文件Hash、文件簽名、系統(tǒng)日志等信息，確認(rèn)是否被安裝后門。分析攻擊者是否橫向移動(dòng)時(shí)，需要排查周邊設(shè)備的漏洞情況、安全防護(hù)情況，分析可能的影響范圍。

　　第五、解決運(yùn)營(yíng)過程中資產(chǎn)無法自動(dòng)化查詢的問題。

　　較多的安全系統(tǒng)都會(huì)有資產(chǎn)查詢需求，無資產(chǎn)API查詢時(shí)，只能通過手工查詢定位系統(tǒng)的負(fù)責(zé)人信息。比如，自動(dòng)化運(yùn)營(yíng)場(chǎng)景中，每個(gè)流程都有多個(gè)步驟，每個(gè)步驟有多個(gè)查詢，任意一個(gè)資產(chǎn)信息查詢無對(duì)應(yīng)API時(shí)，均會(huì)導(dǎo)致流程自動(dòng)化斷層，自動(dòng)化運(yùn)營(yíng)系統(tǒng)的價(jià)值會(huì)大打折扣。

　　第六、安全運(yùn)營(yíng)未來發(fā)展和進(jìn)化支撐。

　　安全運(yùn)營(yíng)的發(fā)展和進(jìn)化，和打游戲時(shí)的科技樹一樣，沒有基礎(chǔ)能力時(shí)，很多高階能力是無法真正實(shí)現(xiàn)的。比如，近期的零信任，前期的態(tài)勢(shì)感知，由于沒有強(qiáng)有力的基礎(chǔ)能力支撐，被玩成了圈內(nèi)的笑話。小到安全能力有效性、安全設(shè)備巡檢，大到實(shí)現(xiàn)零信任、安全大腦、智能決策、UEBA等，均會(huì)受到影響。

　　三、解決方案思考

　　事物發(fā)展循環(huán)：從無到有，從有到多，從多到合。安全資產(chǎn)管理階段：

　　階段一，從無到有，各團(tuán)隊(duì)詢問更新，自維護(hù)本地表格時(shí)代。2017

　　階段二，表格量大無法維護(hù)，升級(jí)為簡(jiǎn)單查詢的在線系統(tǒng)。2018

　　階段三，系統(tǒng)數(shù)據(jù)源不夠，增加自主發(fā)現(xiàn)（掃描和監(jiān)測(cè)）。2019

　　階段四，系統(tǒng)+自主發(fā)現(xiàn)仍無法覆蓋全量資產(chǎn)提出SCMDB。2020

　　階段五，大數(shù)據(jù)平臺(tái)式解決思路，安全資產(chǎn)管理中心。2021

　　階段六，安全資產(chǎn)管理關(guān)聯(lián)漏洞、隱患等的攻擊面管理（ASM）。2022

　　階段七，設(shè)備、用戶、系統(tǒng)畫像+攻擊者畫像，全景聯(lián)動(dòng)分析。2023

　　在2019年左右，我們處在階段四，向階段五進(jìn)發(fā)，沒有理論上可行的思路。有個(gè)朋友興奮的向我介紹 2019年RASC創(chuàng)新沙盒冠軍 Axonius ，同時(shí)表示打通各系統(tǒng)是個(gè)非常難搞定的事，最終放棄了。2020年，我們完成SOAR上對(duì)接各種系統(tǒng)和設(shè)備，開始與國(guó)內(nèi)多家創(chuàng)業(yè)公司接觸，期望能共同研發(fā)類似的產(chǎn)品，解決資產(chǎn)管理的大痛點(diǎn)。

　　2021年與多家企業(yè)溝通后，在應(yīng)用場(chǎng)景、產(chǎn)品定位、設(shè)計(jì)理念、核心能力、同步方式、數(shù)據(jù)結(jié)構(gòu)等方面達(dá)成一致。直到2022年產(chǎn)品才得以落地，經(jīng)過運(yùn)營(yíng)人員實(shí)際應(yīng)用，又對(duì)產(chǎn)品進(jìn)行打磨優(yōu)化。

　　四、最終實(shí)現(xiàn)效果

　　第一、安全度量支撐，實(shí)現(xiàn)終端和服務(wù)器覆蓋率每日自動(dòng)統(tǒng)計(jì)。

　　將終端準(zhǔn)入、終端防病毒、終端DLP、網(wǎng)絡(luò)掃描器等數(shù)據(jù)合并去重，作為分母。各系統(tǒng)自身數(shù)據(jù)作為分子，自動(dòng)化計(jì)算和安全系統(tǒng)的覆蓋率。將HIDS、服務(wù)器防病毒、網(wǎng)絡(luò)掃描器、CMDB、運(yùn)維自動(dòng)化、運(yùn)維監(jiān)控、系統(tǒng)平臺(tái)等數(shù)據(jù)合并去重，作為分母。各系統(tǒng)自身數(shù)據(jù)作為分子，自動(dòng)化計(jì)算覆蓋率。已實(shí)現(xiàn)的安全系統(tǒng)見下圖。

　　第二、情報(bào)響應(yīng)支撐，一鍵查詢漏洞情報(bào)的影響范圍。

　　通過一條查詢語句，實(shí)現(xiàn)是否開放公網(wǎng)、操作系統(tǒng)版本、軟件版本、關(guān)聯(lián)軟件版本、啟動(dòng)用戶等多條件查詢，直接定位實(shí)際受影響的資產(chǎn)，再通過SOAR自動(dòng)化完成工單創(chuàng)建。再也怕別人反問「我的JAVA版本不受影響，為啥發(fā)給我？」查詢實(shí)現(xiàn)截圖如下。

　　第三、告警處置支撐，自動(dòng)富化工單一眼可知關(guān)鍵信息。

　　通過SOAR聯(lián)動(dòng)查詢安全資產(chǎn)管理系統(tǒng)，自動(dòng)補(bǔ)充系統(tǒng)負(fù)責(zé)人、聯(lián)系方式信息，并自動(dòng)創(chuàng)建告警工單，將判斷告警真?zhèn)涡枰男畔⒏换焦沃?。自?dòng)化將樣本上傳至沙箱，獲取沙箱檢測(cè)報(bào)告到工單中。實(shí)現(xiàn)截圖如下。

　　第四、事件響應(yīng)支撐，一屏掌握資產(chǎn)和漏洞優(yōu)化級(jí)。

　　通過資產(chǎn)管理系統(tǒng)，一站式查詢問題資產(chǎn)的聚合信息，使用VPT功能分析快速定位入侵點(diǎn)。同時(shí)可一站式查詢周邊設(shè)備漏洞情況、防護(hù)情況，為下一步工作做好準(zhǔn)備。實(shí)現(xiàn)截圖如下。

　　第五、自動(dòng)化運(yùn)營(yíng)支撐，未來一定是自動(dòng)化、智能化的。

　　安全資產(chǎn)管理系統(tǒng)提供全量API接口，配合SOAR，實(shí)現(xiàn)告警處置、安全巡檢的全流程自動(dòng)化。解決流程因資產(chǎn)問題無法自動(dòng)化的問題。節(jié)省人力的同時(shí)，讓自動(dòng)化的想象空間可以更大。此處無圖。

　　五、未來可期之展望

　　第一、安全資產(chǎn)管理與BAS。進(jìn)入安全運(yùn)營(yíng)階段后，安全能力有效性會(huì)成為一個(gè)焦點(diǎn)。在實(shí)踐的過程中，掌握資產(chǎn)的漏洞后，可與BAS聯(lián)動(dòng)進(jìn)行測(cè)試，實(shí)現(xiàn)風(fēng)險(xiǎn)管理的閉環(huán)。

　　第二、安全資產(chǎn)管理與零信任或安全大腦。隨著安全運(yùn)營(yíng)成熟度的不斷提高，最后實(shí)現(xiàn)的一定是動(dòng)態(tài)自適應(yīng)安全，類似零信任的持續(xù)認(rèn)證，動(dòng)態(tài)調(diào)整策略。而零信任市場(chǎng)上，直到目前都沒有出現(xiàn)一個(gè)像樣的總控中心?？梢灶惾怂伎?，基于攻擊者、應(yīng)用、主機(jī)的畫像，實(shí)現(xiàn)動(dòng)態(tài)的策略調(diào)整。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<