前言
现在的网络环境,威胁跟隐患越来越多,不是今天哪个框架又有远程代码执行漏洞了?明天哪个外网服务器又开放新的高危端口了?哪个系统又被黑了?如此频繁的应急事件出现,赶紧手忙脚乱的找系统负责人,找了大半天没找到,心急如焚,这时候就想着,要是有一份详细准确的资产管理表就好了,那样该省多少事,听说CMDB建设都一两年了,没看到影子,等到CMDB上线,估计黄花菜都凉了,好吧,求人不如求己,还是自己动手得了。
一、目的
我们做资产管理都是从需求出发,因此资产管理的目的就以下两点:
- 事中的入侵检测
- 事后的审计与事件排查
二、资产整理
既然准备做资产管理,那第一步肯定需要目前企业资产的详细情况,因此我们可以从以下几个方面开始准备:
- 梳理资产类型;
- 与各类资产对接人,确认所需字段,统一各类资产表;
- 收集已有资产数据;
- 录入资产管理系统;
- 确认各类资产变更流程;
- 优化变更流程,实现自动化变更资产,保持资产实时更新。
1. 资产类型
目前我们主要对这几类资产进行管理,包括IP网段、域名、内网服务器资产、外网服务器资产、应用系统资产、终端资产,每类资产都可以从字段内容确认、数据来源、更新机制、后期优化几个方面考虑。
2. 资产字段
3. 资产的来源
每一种资产在公司的内部流程中都会有专门的人员管理,那我们可以与对应的负责人沟通,采用统一的资产管理系统,确认更新机制,这样才能保证资产能实时更新,例如,我们将资产管理系统中新建域名的页面嵌入域名申请流程中,那样当有人员申请域名时,必须填写对应的信息后,流程才能通过,这可以要求域名管理人进行控制与审核,域名下线也可以一样进行处理。
三、资产监测
已知资产梳理完成后,接下来肯定需要对未知资产进行管理,但如何发现未知资产呢?如果管理未知资产呢?这是企业资产管理的难点,也是重点,从过去的经历来看,因未知资产导致的安全事件并不少见,也没少被领导请去喝茶,为尽量减少跟规避此种情况出现,可以从以下几个方面考虑。
1. 资产发现
资产发现需要对一定范围内的主机或应用系统指纹识别,包括操作系统版本、开放端口、提供的服务、服务版本等指纹进行识别。
资产发现可以采用主、被动资产发现方式相结合,主动探测主要用于对未知网络下的资产探测,包括网络主机探测、端口探测扫描,硬件特性及版本信息检测;被动探测主要是指采集目标网络的流量,对流量中应用层HTTP,FTP,SNMP等协议分析,从而实现对网络资产信息的被动探测,用于持续性的监听已知网络下的未发现资产,并通过信息补全和深度扫描等方式完成资产属性的补全。
实现方式:Masscan+Nmap
Masscan是大网段全端口扫描神器,就扫描速度来说应该是现有端口扫描器中最快的,Nmap是基于响应协议栈指纹的网络资产探测工具的典型代表,Masscan进行第一遍的快速扫描,然后在进行Nmap(系统指纹信息是最全的)确认服务,实现快速全端口扫描。
2. 扫描结果处理
四、资产运营
资产最重要的还是全面性、准确性、实时性的问题,如果这三点达不到,那应急处置的时候会让人头疼,当然这也不是一蹴而就的问题,需要逐步完善才行,我们可以从以下几个方面去考虑:
- 统一每类资产的字段,避免各部门使用时存在纰漏;
- 建议采用资产管理系统的方式进行存储与查询,有条件的单位可以创建CMDB;
- 嵌套入资产的变更流程中,包括新资产申请,下线,更换等方面,从源头控制;
- 采用自动化的脚本或者程序去执行变更操作,人工审核或机器智能判断,保证实时性。
这是在CMDB建设好之前,我们采用的临时解决方式,还有很多地方需要完善的跟优化的,但总体保证应急响应资产准确率在90%以上,相比之前的excle表格维护,各资产分散不集中,数据不完整,已经提升了好几个档次,也为接下来的CMDB建设提供一定的数据与流程基础,希望后面CMDB不会让人失望,感兴趣的小伙伴可以一起交流,分享。