浅谈安全运营之资产安全管理

 

继续就安全运营中的一些想法和大家交流一下，欢迎拍砖。

企业信息安全首先是满足各类审计和管理的合规性要求，继而逐步过渡为以风险管理的思想满足对核心资产的保护，再进一步就是对资产全生命周期的安全管理，未来会逐步的向以威胁情报为中心的新型模式转变。

资产管理在信息安全运营的地位演进也大致相当于上面四个阶段。首先从基础备案工作开始，按照等级保护要求进行一系列的合规性测评。接着会开始进行核心资产识别工作，加强关键业务本身的资产安全防护。然后逐渐意识到对关键业务、核心资产全生命周期安全管理的重要性，开始加强研发安全管理、上线前安全测试、上线后资产风险监控以及下线阶段的安全消除。最终，应该会根据各类威胁情报动态的对企业里的资产脆弱性、暴露程度、资产价值和受攻击后的影响度进行智能感知和安全性管理。

资产管理的安全属性

资产安全管理活动中，除去资产的基本属性（名称、IP、地理位置、责任人、资产价值）外，还应当包括资产的组件（组件是构成资产的最小软件单元。例如：Web服务器上常用的Linux、Windows、IIS、Apache等组件）、组件状态（各组件对外提供服务的端口号、协议类型等）、资产弱点（脆弱性、暴露程度等）等安全属性。

资产管理的安全特点

企业资产的安全具有以下三个特点：

• 安全是动态的：系统和软件当前没有漏洞，但未来随时有可能出现漏洞；资产的安全风险会随着业务的变化而不断变化。
• 安全是有时间窗口的：出现漏洞后，应抢在被攻击之前，抓住有限的时间窗口进行修复；从资产的安全弱点被发现到受到攻击者实际利用之间的时间差，是安全响应的黄金时间。
• 安全是变化的：企业中的资产设备经常开放大量新端口，网络内经常增加新的上线系统（或者下线旧的系统）；安全管理应适应资产的变化特性。

 

资产安全管理的意义

企业资产安全管理的水平能够真实的反映这个企业面对网络攻击的防御能力。而真实有效的掌握资产安全态势，将能够有效的提升企业资产安全管理的能力和水平。

下图是心脏出血漏洞公开后一周全球对受影响的协议、系统等的修复趋势。

下图是心脏出血漏洞公开后三天我国周边及欧美主要国家漏洞修复率

 

资产安全管理的目标

要做好资产的安全管理，可以分步骤的实现到以下三个目标：

• 全面掌握资产信息及其变化情况，进而能够实时监测资产的在线变化情况，做到对资产（主要针对IP资产）上下线的自动化发现。
• 对资产安全状态（组件、状态、弱点等）的及时掌控，结合威胁情报的获取，做到对漏洞影响范围的精确判断和及时预警
• 管控资产漏洞整改进程，改变现有整改情况只能靠人工上报、定期抽查的模式，做到对整改效果的快速跟踪和及时验证。

 今天就聊这么多，欢迎继续关注我对安全运营的其他观点。