您还未登录! 登录 | 注册 | 帮助  

您的位置: 首页 > 软件开发专栏 > 网络/安全 > 正文

企业安全建设之资产管理与运营

发表于:2020-04-28 作者:jary123 来源:FreeBuf

前言

现在的网络环境,威胁跟隐患越来越多,不是今天哪个框架又有远程代码执行漏洞了?明天哪个外网服务器又开放新的高危端口了?哪个系统又被黑了?如此频繁的应急事件出现,赶紧手忙脚乱的找系统负责人,找了大半天没找到,心急如焚,这时候就想着,要是有一份详细准确的资产管理表就好了,那样该省多少事,听说CMDB建设都一两年了,没看到影子,等到CMDB上线,估计黄花菜都凉了,好吧,求人不如求己,还是自己动手得了。

一、目的

我们做资产管理都是从需求出发,因此资产管理的目的就以下两点:

  • 事中的入侵检测
  • 事后的审计与事件排查

二、资产整理

既然准备做资产管理,那第一步肯定需要目前企业资产的详细情况,因此我们可以从以下几个方面开始准备:

  • 梳理资产类型;
  • 与各类资产对接人,确认所需字段,统一各类资产表;
  • 收集已有资产数据;
  • 录入资产管理系统;
  • 确认各类资产变更流程;
  • 优化变更流程,实现自动化变更资产,保持资产实时更新。

1. 资产类型

目前我们主要对这几类资产进行管理,包括IP网段、域名、内网服务器资产、外网服务器资产、应用系统资产、终端资产,每类资产都可以从字段内容确认、数据来源、更新机制、后期优化几个方面考虑。

2. 资产字段

3. 资产的来源

每一种资产在公司的内部流程中都会有专门的人员管理,那我们可以与对应的负责人沟通,采用统一的资产管理系统,确认更新机制,这样才能保证资产能实时更新,例如,我们将资产管理系统中新建域名的页面嵌入域名申请流程中,那样当有人员申请域名时,必须填写对应的信息后,流程才能通过,这可以要求域名管理人进行控制与审核,域名下线也可以一样进行处理。

三、资产监测

已知资产梳理完成后,接下来肯定需要对未知资产进行管理,但如何发现未知资产呢?如果管理未知资产呢?这是企业资产管理的难点,也是重点,从过去的经历来看,因未知资产导致的安全事件并不少见,也没少被领导请去喝茶,为尽量减少跟规避此种情况出现,可以从以下几个方面考虑。

1. 资产发现

资产发现需要对一定范围内的主机或应用系统指纹识别,包括操作系统版本、开放端口、提供的服务、服务版本等指纹进行识别。

资产发现可以采用主、被动资产发现方式相结合,主动探测主要用于对未知网络下的资产探测,包括网络主机探测、端口探测扫描,硬件特性及版本信息检测;被动探测主要是指采集目标网络的流量,对流量中应用层HTTP,FTP,SNMP等协议分析,从而实现对网络资产信息的被动探测,用于持续性的监听已知网络下的未发现资产,并通过信息补全和深度扫描等方式完成资产属性的补全。

实现方式:Masscan+Nmap

Masscan是大网段全端口扫描神器,就扫描速度来说应该是现有端口扫描器中最快的,Nmap是基于响应协议栈指纹的网络资产探测工具的典型代表,Masscan进行第一遍的快速扫描,然后在进行Nmap(系统指纹信息是最全的)确认服务,实现快速全端口扫描。

2. 扫描结果处理

四、资产运营

资产最重要的还是全面性、准确性、实时性的问题,如果这三点达不到,那应急处置的时候会让人头疼,当然这也不是一蹴而就的问题,需要逐步完善才行,我们可以从以下几个方面去考虑:

  • 统一每类资产的字段,避免各部门使用时存在纰漏;
  • 建议采用资产管理系统的方式进行存储与查询,有条件的单位可以创建CMDB;
  • 嵌套入资产的变更流程中,包括新资产申请,下线,更换等方面,从源头控制;
  • 采用自动化的脚本或者程序去执行变更操作,人工审核或机器智能判断,保证实时性。

这是在CMDB建设好之前,我们采用的临时解决方式,还有很多地方需要完善的跟优化的,但总体保证应急响应资产准确率在90%以上,相比之前的excle表格维护,各资产分散不集中,数据不完整,已经提升了好几个档次,也为接下来的CMDB建设提供一定的数据与流程基础,希望后面CMDB不会让人失望,感兴趣的小伙伴可以一起交流,分享。