一、前言

　　每一個做安全資產(chǎn)管理的同學們，都一個終極夢想，那就是掌握所有信息資產(chǎn)。為什么要掌握所有的安全資產(chǎn)呢，因為做防守的同學們有一個邏輯，掌握全量資產(chǎn)才有可能掌握資產(chǎn)上的風險和隱患。為什么說是夢想呢？每一代想挑戰(zhàn)安全資產(chǎn)管理的人也不少，關于安全資產(chǎn)管理的實踐也多如牛毛，但至今未見圈內(nèi)有最佳實踐?？梢娮龊冒踩Y產(chǎn)管理的難度不是一般的大。此前有些實踐基礎，文章定名進階實踐。

　　二、為什么要做

　　第一、解決安全度量中的覆蓋率計算問題。

　　覆蓋率計算時，需要全量的資產(chǎn)作為分母。比如，終端上的網(wǎng)絡準入、防病毒、EDR等。服務器上的防病毒、HIDS等。統(tǒng)計安全度量數(shù)據(jù)時，資產(chǎn)是分母。沒有全量資產(chǎn)，統(tǒng)計出的度量數(shù)據(jù)，沒有公信力。

　　第二、解決漏洞情報響應中的資產(chǎn)定位和影響分析問題。

　　前兩年曾設想過，漏洞情報出現(xiàn)時，如果能直接關聯(lián)資產(chǎn)數(shù)據(jù)，可直接確定受影響范圍，再配合SOAR直接分發(fā)工單。受漏洞利用條件、資產(chǎn)數(shù)據(jù)不完整的影響，一直不曾實現(xiàn)。

　　在響應過程中，還被質(zhì)問「我的Java版本不受影響，為啥發(fā)工單給我？」。問題是收到漏洞情報響應時，需要有軟件、中間件、JAR包的版本號判斷影響范圍。需要有啟動用戶、關聯(lián)軟件版本、配置文件、插件版本等資產(chǎn)判斷是否可利用。需要互聯(lián)網(wǎng)開放情況判斷處置優(yōu)先級。天知道你是啥配置??？

　　第三、解決告警處置中的人員、資產(chǎn)定位問題，為分析提供支撐。

　　出現(xiàn)入侵告警時，需要有資產(chǎn)負責人的姓名、電話、IAM賬號、人員經(jīng)理信息，溝通確認是否為攻擊行為，排查是否為誤報（有可能是員工操作）。若非員工操作，確認為攻擊者行為，排查被攻擊的漏洞是否存在（有可能是掃描器），需要有軟件、中間件、框架、組件、JAR包等資產(chǎn)信息支撐。

　　第四、解決事件響應中的漏洞定位問題，為分析提供支撐。

　　如有攻擊成功，進入響應階段。需要排查進程、端口、啟動項、文件Hash、文件簽名、系統(tǒng)日志等信息，確認是否被安裝后門。分析攻擊者是否橫向移動時，需要排查周邊設備的漏洞情況、安全防護情況，分析可能的影響范圍。

　　第五、解決運營過程中資產(chǎn)無法自動化查詢的問題。

　　較多的安全系統(tǒng)都會有資產(chǎn)查詢需求，無資產(chǎn)API查詢時，只能通過手工查詢定位系統(tǒng)的負責人信息。比如，自動化運營場景中，每個流程都有多個步驟，每個步驟有多個查詢，任意一個資產(chǎn)信息查詢無對應API時，均會導致流程自動化斷層，自動化運營系統(tǒng)的價值會大打折扣。

　　第六、安全運營未來發(fā)展和進化支撐。

　　安全運營的發(fā)展和進化，和打游戲時的科技樹一樣，沒有基礎能力時，很多高階能力是無法真正實現(xiàn)的。比如，近期的零信任，前期的態(tài)勢感知，由于沒有強有力的基礎能力支撐，被玩成了圈內(nèi)的笑話。小到安全能力有效性、安全設備巡檢，大到實現(xiàn)零信任、安全大腦、智能決策、UEBA等，均會受到影響。

　　三、解決方案思考

　　事物發(fā)展循環(huán)：從無到有，從有到多，從多到合。安全資產(chǎn)管理階段：

　　階段一，從無到有，各團隊詢問更新，自維護本地表格時代。2017

　　階段二，表格量大無法維護，升級為簡單查詢的在線系統(tǒng)。2018

　　階段三，系統(tǒng)數(shù)據(jù)源不夠，增加自主發(fā)現(xiàn)（掃描和監(jiān)測）。2019

　　階段四，系統(tǒng)+自主發(fā)現(xiàn)仍無法覆蓋全量資產(chǎn)提出SCMDB。2020

　　階段五，大數(shù)據(jù)平臺式解決思路，安全資產(chǎn)管理中心。2021

　　階段六，安全資產(chǎn)管理關聯(lián)漏洞、隱患等的攻擊面管理（ASM）。2022

　　階段七，設備、用戶、系統(tǒng)畫像+攻擊者畫像，全景聯(lián)動分析。2023

　　在2019年左右，我們處在階段四，向階段五進發(fā)，沒有理論上可行的思路。有個朋友興奮的向我介紹 2019年RASC創(chuàng)新沙盒冠軍 Axonius ，同時表示打通各系統(tǒng)是個非常難搞定的事，最終放棄了。2020年，我們完成SOAR上對接各種系統(tǒng)和設備，開始與國內(nèi)多家創(chuàng)業(yè)公司接觸，期望能共同研發(fā)類似的產(chǎn)品，解決資產(chǎn)管理的大痛點。

　　2021年與多家企業(yè)溝通后，在應用場景、產(chǎn)品定位、設計理念、核心能力、同步方式、數(shù)據(jù)結構等方面達成一致。直到2022年產(chǎn)品才得以落地，經(jīng)過運營人員實際應用，又對產(chǎn)品進行打磨優(yōu)化。

　　四、最終實現(xiàn)效果

　　第一、安全度量支撐，實現(xiàn)終端和服務器覆蓋率每日自動統(tǒng)計。

　　將終端準入、終端防病毒、終端DLP、網(wǎng)絡掃描器等數(shù)據(jù)合并去重，作為分母。各系統(tǒng)自身數(shù)據(jù)作為分子，自動化計算和安全系統(tǒng)的覆蓋率。將HIDS、服務器防病毒、網(wǎng)絡掃描器、CMDB、運維自動化、運維監(jiān)控、系統(tǒng)平臺等數(shù)據(jù)合并去重，作為分母。各系統(tǒng)自身數(shù)據(jù)作為分子，自動化計算覆蓋率。已實現(xiàn)的安全系統(tǒng)見下圖。

　　第二、情報響應支撐，一鍵查詢漏洞情報的影響范圍。

　　通過一條查詢語句，實現(xiàn)是否開放公網(wǎng)、操作系統(tǒng)版本、軟件版本、關聯(lián)軟件版本、啟動用戶等多條件查詢，直接定位實際受影響的資產(chǎn)，再通過SOAR自動化完成工單創(chuàng)建。再也怕別人反問「我的JAVA版本不受影響，為啥發(fā)給我？」查詢實現(xiàn)截圖如下。

　　第三、告警處置支撐，自動富化工單一眼可知關鍵信息。

　　通過SOAR聯(lián)動查詢安全資產(chǎn)管理系統(tǒng)，自動補充系統(tǒng)負責人、聯(lián)系方式信息，并自動創(chuàng)建告警工單，將判斷告警真?zhèn)涡枰男畔⒏换焦沃?。自動化將樣本上傳至沙箱，獲取沙箱檢測報告到工單中。實現(xiàn)截圖如下。

　　第四、事件響應支撐，一屏掌握資產(chǎn)和漏洞優(yōu)化級。

　　通過資產(chǎn)管理系統(tǒng)，一站式查詢問題資產(chǎn)的聚合信息，使用VPT功能分析快速定位入侵點。同時可一站式查詢周邊設備漏洞情況、防護情況，為下一步工作做好準備。實現(xiàn)截圖如下。

　　第五、自動化運營支撐，未來一定是自動化、智能化的。

　　安全資產(chǎn)管理系統(tǒng)提供全量API接口，配合SOAR，實現(xiàn)告警處置、安全巡檢的全流程自動化。解決流程因資產(chǎn)問題無法自動化的問題。節(jié)省人力的同時，讓自動化的想象空間可以更大。此處無圖。

　　五、未來可期之展望

　　第一、安全資產(chǎn)管理與BAS。進入安全運營階段后，安全能力有效性會成為一個焦點。在實踐的過程中，掌握資產(chǎn)的漏洞后，可與BAS聯(lián)動進行測試，實現(xiàn)風險管理的閉環(huán)。

　　第二、安全資產(chǎn)管理與零信任或安全大腦。隨著安全運營成熟度的不斷提高，最后實現(xiàn)的一定是動態(tài)自適應安全，類似零信任的持續(xù)認證，動態(tài)調(diào)整策略。而零信任市場上，直到目前都沒有出現(xiàn)一個像樣的總控中心?？梢灶惾怂伎?，基于攻擊者、應用、主機的畫像，實現(xiàn)動態(tài)的策略調(diào)整。

更多信息可以來這里獲取==>>電子技術應用-AET<<