一,、前言
每一個做安全資產(chǎn)管理的同學(xué)們,都一個終極夢想,,那就是掌握所有信息資產(chǎn),。為什么要掌握所有的安全資產(chǎn)呢,,因為做防守的同學(xué)們有一個邏輯,掌握全量資產(chǎn)才有可能掌握資產(chǎn)上的風(fēng)險和隱患,。為什么說是夢想呢,?每一代想挑戰(zhàn)安全資產(chǎn)管理的人也不少,關(guān)于安全資產(chǎn)管理的實踐也多如牛毛,,但至今未見圈內(nèi)有最佳實踐,。可見做好安全資產(chǎn)管理的難度不是一般的大,。此前有些實踐基礎(chǔ),,文章定名進階實踐。
二,、為什么要做
第一,、解決安全度量中的覆蓋率計算問題。
覆蓋率計算時,,需要全量的資產(chǎn)作為分母,。比如,終端上的網(wǎng)絡(luò)準(zhǔn)入,、防病毒,、EDR等。服務(wù)器上的防病毒、HIDS等,。統(tǒng)計安全度量數(shù)據(jù)時,,資產(chǎn)是分母。沒有全量資產(chǎn),,統(tǒng)計出的度量數(shù)據(jù),,沒有公信力。
第二,、解決漏洞情報響應(yīng)中的資產(chǎn)定位和影響分析問題,。
前兩年曾設(shè)想過,漏洞情報出現(xiàn)時,,如果能直接關(guān)聯(lián)資產(chǎn)數(shù)據(jù),,可直接確定受影響范圍,再配合SOAR直接分發(fā)工單,。受漏洞利用條件,、資產(chǎn)數(shù)據(jù)不完整的影響,一直不曾實現(xiàn),。
在響應(yīng)過程中,,還被質(zhì)問「我的Java版本不受影響,為啥發(fā)工單給我,?」,。問題是收到漏洞情報響應(yīng)時,需要有軟件,、中間件、JAR包的版本號判斷影響范圍,。需要有啟動用戶,、關(guān)聯(lián)軟件版本、配置文件,、插件版本等資產(chǎn)判斷是否可利用,。需要互聯(lián)網(wǎng)開放情況判斷處置優(yōu)先級。天知道你是啥配置???
第三、解決告警處置中的人員,、資產(chǎn)定位問題,,為分析提供支撐。
出現(xiàn)入侵告警時,,需要有資產(chǎn)負責(zé)人的姓名,、電話、IAM賬號,、人員經(jīng)理信息,,溝通確認(rèn)是否為攻擊行為,,排查是否為誤報(有可能是員工操作)。若非員工操作,,確認(rèn)為攻擊者行為,,排查被攻擊的漏洞是否存在(有可能是掃描器),需要有軟件,、中間件,、框架、組件,、JAR包等資產(chǎn)信息支撐,。
第四、解決事件響應(yīng)中的漏洞定位問題,,為分析提供支撐,。
如有攻擊成功,進入響應(yīng)階段,。需要排查進程,、端口、啟動項,、文件Hash,、文件簽名、系統(tǒng)日志等信息,,確認(rèn)是否被安裝后門,。分析攻擊者是否橫向移動時,需要排查周邊設(shè)備的漏洞情況,、安全防護情況,,分析可能的影響范圍。
第五,、解決運營過程中資產(chǎn)無法自動化查詢的問題,。
較多的安全系統(tǒng)都會有資產(chǎn)查詢需求,無資產(chǎn)API查詢時,,只能通過手工查詢定位系統(tǒng)的負責(zé)人信息,。比如,自動化運營場景中,,每個流程都有多個步驟,,每個步驟有多個查詢,任意一個資產(chǎn)信息查詢無對應(yīng)API時,,均會導(dǎo)致流程自動化斷層,,自動化運營系統(tǒng)的價值會大打折扣。
第六、安全運營未來發(fā)展和進化支撐,。
安全運營的發(fā)展和進化,,和打游戲時的科技樹一樣,沒有基礎(chǔ)能力時,,很多高階能力是無法真正實現(xiàn)的,。比如,近期的零信任,,前期的態(tài)勢感知,,由于沒有強有力的基礎(chǔ)能力支撐,被玩成了圈內(nèi)的笑話,。小到安全能力有效性,、安全設(shè)備巡檢,大到實現(xiàn)零信任,、安全大腦,、智能決策、UEBA等,,均會受到影響,。
三、解決方案思考
事物發(fā)展循環(huán):從無到有,,從有到多,,從多到合。安全資產(chǎn)管理階段:
階段一,,從無到有,,各團隊詢問更新,自維護本地表格時代,。2017
階段二,,表格量大無法維護,升級為簡單查詢的在線系統(tǒng),。2018
階段三,,系統(tǒng)數(shù)據(jù)源不夠,,增加自主發(fā)現(xiàn)(掃描和監(jiān)測),。2019
階段四,系統(tǒng)+自主發(fā)現(xiàn)仍無法覆蓋全量資產(chǎn)提出SCMDB,。2020
階段五,,大數(shù)據(jù)平臺式解決思路,安全資產(chǎn)管理中心,。2021
階段六,,安全資產(chǎn)管理關(guān)聯(lián)漏洞、隱患等的攻擊面管理(ASM)。2022
階段七,,設(shè)備,、用戶、系統(tǒng)畫像+攻擊者畫像,,全景聯(lián)動分析,。2023
在2019年左右,我們處在階段四,,向階段五進發(fā),,沒有理論上可行的思路。有個朋友興奮的向我介紹 2019年RASC創(chuàng)新沙盒冠軍 Axonius ,,同時表示打通各系統(tǒng)是個非常難搞定的事,,最終放棄了。2020年,,我們完成SOAR上對接各種系統(tǒng)和設(shè)備,,開始與國內(nèi)多家創(chuàng)業(yè)公司接觸,期望能共同研發(fā)類似的產(chǎn)品,,解決資產(chǎn)管理的大痛點,。
2021年與多家企業(yè)溝通后,在應(yīng)用場景,、產(chǎn)品定位,、設(shè)計理念、核心能力,、同步方式,、數(shù)據(jù)結(jié)構(gòu)等方面達成一致。直到2022年產(chǎn)品才得以落地,,經(jīng)過運營人員實際應(yīng)用,,又對產(chǎn)品進行打磨優(yōu)化。
四,、最終實現(xiàn)效果
第一,、安全度量支撐,實現(xiàn)終端和服務(wù)器覆蓋率每日自動統(tǒng)計,。
將終端準(zhǔn)入,、終端防病毒、終端DLP,、網(wǎng)絡(luò)掃描器等數(shù)據(jù)合并去重,,作為分母。各系統(tǒng)自身數(shù)據(jù)作為分子,,自動化計算和安全系統(tǒng)的覆蓋率,。將HIDS,、服務(wù)器防病毒、網(wǎng)絡(luò)掃描器,、CMDB,、運維自動化、運維監(jiān)控,、系統(tǒng)平臺等數(shù)據(jù)合并去重,,作為分母。各系統(tǒng)自身數(shù)據(jù)作為分子,,自動化計算覆蓋率,。已實現(xiàn)的安全系統(tǒng)見下圖。
第二,、情報響應(yīng)支撐,,一鍵查詢漏洞情報的影響范圍。
通過一條查詢語句,,實現(xiàn)是否開放公網(wǎng),、操作系統(tǒng)版本、軟件版本,、關(guān)聯(lián)軟件版本,、啟動用戶等多條件查詢,直接定位實際受影響的資產(chǎn),,再通過SOAR自動化完成工單創(chuàng)建,。再也怕別人反問「我的JAVA版本不受影響,為啥發(fā)給我,?」查詢實現(xiàn)截圖如下,。
第三、告警處置支撐,,自動富化工單一眼可知關(guān)鍵信息,。
通過SOAR聯(lián)動查詢安全資產(chǎn)管理系統(tǒng),自動補充系統(tǒng)負責(zé)人,、聯(lián)系方式信息,,并自動創(chuàng)建告警工單,將判斷告警真?zhèn)涡枰男畔⒏换焦沃?。自動化將樣本上傳至沙箱,,獲取沙箱檢測報告到工單中。實現(xiàn)截圖如下,。
第四,、事件響應(yīng)支撐,,一屏掌握資產(chǎn)和漏洞優(yōu)化級,。
通過資產(chǎn)管理系統(tǒng),,一站式查詢問題資產(chǎn)的聚合信息,使用VPT功能分析快速定位入侵點,。同時可一站式查詢周邊設(shè)備漏洞情況,、防護情況,為下一步工作做好準(zhǔn)備,。實現(xiàn)截圖如下,。
第五、自動化運營支撐,,未來一定是自動化,、智能化的。
安全資產(chǎn)管理系統(tǒng)提供全量API接口,,配合SOAR,,實現(xiàn)告警處置、安全巡檢的全流程自動化,。解決流程因資產(chǎn)問題無法自動化的問題,。節(jié)省人力的同時,讓自動化的想象空間可以更大,。此處無圖,。
五、未來可期之展望
第一,、安全資產(chǎn)管理與BAS,。進入安全運營階段后,安全能力有效性會成為一個焦點,。在實踐的過程中,,掌握資產(chǎn)的漏洞后,可與BAS聯(lián)動進行測試,,實現(xiàn)風(fēng)險管理的閉環(huán),。
第二、安全資產(chǎn)管理與零信任或安全大腦,。隨著安全運營成熟度的不斷提高,,最后實現(xiàn)的一定是動態(tài)自適應(yīng)安全,類似零信任的持續(xù)認(rèn)證,,動態(tài)調(diào)整策略,。而零信任市場上,直到目前都沒有出現(xiàn)一個像樣的總控中心,??梢灶惾怂伎迹诠粽?、應(yīng)用,、主機的畫像,,實現(xiàn)動態(tài)的策略調(diào)整。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
