作者简介:
王千寻(柳宿增十),男,内蒙人,CISSP\CISP\PMP\ 高项。混迹北京 IT 圈子 11 年,初做运维,再做集成,后又一头扎进信息安全小圈子,自此无法自拔。加盟观星后,专注于资产威胁管理技术及应用解决方案。见客户资产威胁管理痛点颇多,愿为大家提供一些个人见解与思路。希望能和大家共同完成对资产威胁管理工作的认知-认可-认同和落实,帮助大家更轻松的做好资产威胁管理工作,让安全管理更简单。
1、安全运营团队有必要进行资产管理么?
非常有必要!资产的控制权和所有权始终是攻防双方的争夺焦点,攻击者利用资产脆弱性进行正向突破、横向提权,任何一个资产脆弱点都有可能成为安全防护体系上的那块“短木板”。
You Can’t Secure What You Can’t See,资产管理也绝不止于运维人员的资产台账和 CMDB ,安全运营团队需要建立基于资产威胁监管视角的安全资产管理观念。事前发现梳理安全资产,及时收束资产脆弱性暴露面,是性价比最高的安全运营管理手段。
2、安全运营团队应该关注哪些资产维度?
一千个人眼中有一千个哈姆雷特,不同角色对资产的关注点也不同。运维团队关注资产的配置、状态和分配情况,财务团队关注资产的价值、折旧和存在形式。而安全运营团队,要从哪些维度视角看待资产呢?
如图,安全运营团队应当从安全视角重点关注资产细节及其带来的脆弱性,例如高危端口暴露带来的重大风险,又如敏感代码泄露带来的间接风险。基于脆弱性管理需求,有针对性的关注资产细节,才能有相对从容的资产威胁监管体验。
3、你清楚自身的 IT 业务环境中有多少资产么?
对组织资产信息的深度了解,在应急响应阶段更加重要。试问,在勒索病毒肆虐时期,你能快速定位组织网络中有多少主机开放了 445 端口么?随着新业务的不断上线、新技术的不断推广和新型攻击方式的不断展现,安全资产管理需要关注的资产维度和资产细节也越来越多,依靠人工维护的方式进行安全资产管理已经成为一个不可能完成任务。
因此,组织的资产管理系统应当具备主被动结合的资产发现、分析和梳理能力,从而实现自动/半自动化的全局安全资产监管。在极大降低安全资产监管工作量的同时,建立全面、准确、及时的权威资产数据源。
4、你能随时把握资产的动态变化么?
业务日日新,资产时时变。业务开发的高速迭代,使得传统的变更管理过程变得支离破碎。内部人员的违规操作则会造成难以估量的风险隐患。
对此,我们可以通过周期性主动探测+被动实时流量分析探测的持续性资产变更监管解决方案,在资产变更监测界面“插眼”,使违规资产变更无所遁形。当然,针对不同的资产变化事件,采取的“插眼”方式也是不同的。例如,通过核心资产高频周期探测发现核心资产的违规变更、意外下线等安全事件;通过流量分析实时发现核心业务服务器上违规开放的新增业务端口;通过全局周期检测发现已知端口后面的应用组件违规变更事件等等。
唯有进行持续性资产变更监测,才能有效保障安全资产大数据的新鲜度,以使其在安全运营工作中发挥更大的支撑价值。
5、你能对分支机构资产进行统筹管理么?
分支机构私搭乱建,资产误报漏报不上报,集团用户想实现集团安全资产的集中管理总是面临着各种各样的技术挑战和管理挑战。
我们的建议是,通过远程黑盒资产监测、情报被动资产监测、流量分析资产监测,再结合分布式探针构建全局资产威胁监管平台。一个平台、一套机制,人工为辅、自动为主,技术管理相结合,实现集团全局资产威胁管理的能力大集中和数据大集中。
6、你对组织 URL 资产存量和增量是否能清楚把握?
移动互联网时代,B/S 服务模式尚为主流,APP 等移动应用交付模式日益强大。但不管是哪种服务形式,其 S 端都需要以 URL 的形式为 C 端提供服务。在实际管理中,url 资产管理工作因文件路径难定位和主机端口可复用等原因,存在大量无法确定位置、确定细节的隐形资产。未知 url 资产极易成为攻击方的攻击突破口和切入点。
针对这种情况,可通过域名解析、资产拼接探测、情报碰撞、流量分析、爬虫爬取、数据对接和人工导入等多种方式方法相结合,以提供最全面的 url 资产发现、分析和梳理能力。通过定位未知 url 资产,探测资产细节,识别资产脆弱性,将 url 资产安全管起来!
7、你梳理清楚了资产关联关系么?
我有一万台虚拟机,出问题时我既不知道它是干嘛用的,也不知道该找谁进行分析处置!资产关联关系梳理之痛,其人可知。在安全运营工作中,应从以下几个维度进行资产关联梳理:
· 关联组织:哪个部门的资产?
· 关联系统:哪个业务的资产?
· 关联人员:谁的资产?
· 关联内外网:IP 映射关系如何?
· 关联基线:几级等保?是不是核心业务?
· 关联威胁:有没有高危漏洞?是否存在弱口令?
清楚的资产关联关系,可在安全运营及风险处置工作中快速定位人机关系,做到有发现、有指派、有处置。风险处置闭环,可事半功倍!
8、你清楚组织在互联网侧暴露了哪些资产脆弱性么?
我们关注资产,但我们更关注资产脆弱性暴露。在重保阶段,你能清楚的知道在互联网侧暴露了哪些资产脆弱性么?实际环境中,虽然部署了各种安防设备,构建了纵深防御体系,但其互联网侧资产脆弱性暴露面依然是一个谜。
通过专业产品的互联网暴露面监管能力和重保服务能力相结合,在安全运营工作特别是重保服务时期,可有效把握组织的互联网资产暴露面状态。安全运营先知己,通过发现、分析、处置、复测的闭环流程,实现组织互联网资产风险暴露面的有效收束。(例如敏感代码下线、高危端口关闭、违规业务下线。)
9、你对内网资产脆弱性有足够的了解么?
内网资产一定安全么?在某些时候,内网资产的脆弱性远高于互联网资产。例如攻击者完成定点突破后的横向攻击,内部别有用心者的违规操作,永恒之蓝等病毒木马的自动传播。生于忧患死于安乐,内部资产因处于低危区域而造成安全监管重视程度不足,往往形成难以估量的安全风险隐患。
没有攻不破的系统,只有不值得攻击的系统。伊朗核浓缩设施在物理隔离状态下,依然被内鬼以离线方式注入震网病毒,内网资产并没有想象中那么“安全”。
因此全面梳理内网资产,持续监测内网资产变更,通过漏洞检测、弱口令检测等方式识别内网资产脆弱性,早发现,早治疗,风起之时,才可巍然不动。
10、1day 漏洞来袭,你建设了有效的应急处置能力么?
当 1day 高危漏洞来袭时,你如何进行应急响应呢?通过朋友圈获取漏洞情报么?四处求药努力获取 POC 么?临时编写任务脚本实现大范围 POC 检测么?这样的话,你在高危攻防应急响应的百米赛道上,就已经落后攻击者 30 米了。
因此,团队应当建立标准化的 1day 高危漏洞应急处置流程,应做到:
· 第一时间获得漏洞预警;
·第一时间获取详细漏洞情报;
· 第一时间获取可疑资产清单(自动化);
· 第一时间获取有效 POC;
· 第一时间获取精确风险资产清单;
· 第一时间获取加固方案并组织资产加固;
· 第一时间进行复测,以验证加固有效性。
采用专业的情报来源,建立专业的处置流程,实现自动化、标准化的处理机制,如此才能在 1day 高危漏洞应急响应过程中游刃有余。
