隨著《網(wǎng)絡(luò)安全法》的實(shí)施，網(wǎng)絡(luò)安全已經(jīng)上升為國(guó)家戰(zhàn)略，成為國(guó)家安全的重要組成部分。保障網(wǎng)絡(luò)安全是國(guó)家賦予企業(yè)的重大責(zé)任。在網(wǎng)信辦發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》中，對(duì)資產(chǎn)安全治理提出了更高要求。

資產(chǎn)是企業(yè)進(jìn)行生產(chǎn)經(jīng)營(yíng)所需的重要經(jīng)濟(jì)物資，其安全的重要性毋庸置疑。面對(duì)資產(chǎn)高度數(shù)字化的今天以及網(wǎng)絡(luò)環(huán)境中日益增多的威脅和隱患，維護(hù)好企業(yè)資產(chǎn)的安全面臨著重大挑戰(zhàn)。

01 面臨的問(wèn)題

經(jīng)過(guò)在各行各業(yè)的項(xiàng)目實(shí)踐，鵬信科技對(duì)一般資產(chǎn)管理過(guò)程中遇到的問(wèn)題進(jìn)行了總結(jié)，主要分為以下幾點(diǎn)：

1、資產(chǎn)暴露問(wèn)題

資產(chǎn)暴露問(wèn)題主要包括企業(yè)內(nèi)部有多少資產(chǎn)、屬于什么業(yè)務(wù)、哪些資產(chǎn)直接暴露在互聯(lián)網(wǎng)上、這些資產(chǎn)是否合規(guī)等。這些問(wèn)題在企業(yè)中或多或少都會(huì)存在，主要是企業(yè)內(nèi)部資產(chǎn)范圍管理不全的問(wèn)題。

2、責(zé)任不清問(wèn)題

責(zé)任不清問(wèn)題主要表現(xiàn)為資產(chǎn)歸屬不清、整改責(zé)任不清。例如，資產(chǎn)屬于A，但運(yùn)維責(zé)任在B，如果資產(chǎn)出現(xiàn)問(wèn)題，最后歸責(zé)于誰(shuí)。這些都會(huì)導(dǎo)致企業(yè)內(nèi)部資產(chǎn)管理不規(guī)范、不安全等問(wèn)題。

3、資產(chǎn)風(fēng)險(xiǎn)問(wèn)題

資產(chǎn)風(fēng)險(xiǎn)問(wèn)題主要包括不了解上線系統(tǒng)使用的組件和框架，缺乏快速定位問(wèn)題資產(chǎn)的能力。例如struts2的漏洞，如果資產(chǎn)的指紋信息清晰，可以通過(guò)對(duì)比資產(chǎn)信息，快速且準(zhǔn)確地識(shí)別出受影響的資產(chǎn)。另一個(gè)問(wèn)題是設(shè)備之間的關(guān)系不明確，缺乏設(shè)備與設(shè)備、設(shè)備與業(yè)務(wù)之間的關(guān)系數(shù)據(jù)。例如，當(dāng)一臺(tái)設(shè)備發(fā)生故障時(shí)，該故障影響了哪些業(yè)務(wù)，業(yè)務(wù)的影響范圍無(wú)法界定，進(jìn)而導(dǎo)致故障處理時(shí)間較長(zhǎng)，增加了資產(chǎn)風(fēng)險(xiǎn)。

4、發(fā)現(xiàn)整改問(wèn)題

在資產(chǎn)風(fēng)險(xiǎn)發(fā)現(xiàn)整改的過(guò)程中，由于缺乏持續(xù)的監(jiān)測(cè)手段，加上資產(chǎn)每日都在新增，老問(wèn)題一直存在，新問(wèn)題不斷產(chǎn)生，資產(chǎn)的風(fēng)險(xiǎn)問(wèn)題沒(méi)有明確的解決方案，導(dǎo)致企業(yè)資產(chǎn)風(fēng)險(xiǎn)增加。

通過(guò)分析，鵬信科技知道資產(chǎn)是一切安全活動(dòng)（安全檢查、應(yīng)急響應(yīng)等）的基礎(chǔ)，如何做好資產(chǎn)管理及其風(fēng)險(xiǎn)管理，是我們需要解決的主要問(wèn)題。

02 解決思路

安全資產(chǎn)數(shù)據(jù)的完整性、準(zhǔn)確性直接影響風(fēng)險(xiǎn)整改和應(yīng)急效率。因此，需要以自動(dòng)化的方式收集和維護(hù)資產(chǎn)信息，并對(duì)基礎(chǔ)數(shù)據(jù)進(jìn)行清洗、轉(zhuǎn)換、協(xié)調(diào)和監(jiān)控，為安全檢測(cè)、風(fēng)險(xiǎn)分析和應(yīng)急處置各流程提供各種業(yè)務(wù)場(chǎng)景支撐，如威脅檢測(cè)、應(yīng)急處置、弱點(diǎn)掃描、設(shè)備發(fā)現(xiàn)、安全告警等。

1、資產(chǎn)數(shù)據(jù)管理

資產(chǎn)數(shù)據(jù)管理，可分為3種方式：①自動(dòng)采集，通過(guò)遠(yuǎn)程、登錄、流量等方式發(fā)現(xiàn)資產(chǎn)，采集設(shè)備指紋信息；②需要根據(jù)企業(yè)現(xiàn)有安全建設(shè)情況進(jìn)行對(duì)接。例如，已有的不完善的資產(chǎn)系統(tǒng)，可以考慮數(shù)據(jù)的補(bǔ)充對(duì)接；③資產(chǎn)電子化錄入，這是一種比較被動(dòng)的形式，如資產(chǎn)變動(dòng)量大，人工運(yùn)維成本高。因此，在上述方式中，從自動(dòng)化管理角度來(lái)看，數(shù)據(jù)輸入以人工錄入為基礎(chǔ)，后續(xù)通過(guò)自動(dòng)采集進(jìn)行資產(chǎn)滾動(dòng)更新。

2、異常資產(chǎn)處理

異常資產(chǎn)的定義可以通過(guò)企業(yè)內(nèi)部規(guī)則進(jìn)行設(shè)置。例如，一臺(tái)資產(chǎn)開(kāi)放的端口/服務(wù)數(shù)量超過(guò)閾值（如超過(guò)100個(gè)）、開(kāi)放多個(gè)遠(yuǎn)程運(yùn)維類的端口/服務(wù)、由于后門(mén)、木馬、病毒等惡意程序?qū)е露丝谶M(jìn)程發(fā)生異常變化等，可通過(guò)定期開(kāi)展核查任務(wù)，將已有的指紋信息與規(guī)則進(jìn)行比對(duì)，輸出異常資產(chǎn)，并委托具體責(zé)任方進(jìn)行整改。在資產(chǎn)歸屬定位過(guò)程中，還可以參考資產(chǎn)拓?fù)?，了解其風(fēng)險(xiǎn)所在位置，便于企業(yè)運(yùn)維人員根據(jù)專業(yè)知識(shí)判斷其是否存在其他受影響資產(chǎn)，便于進(jìn)行全面的風(fēng)險(xiǎn)控制。將整改工作責(zé)任分配給個(gè)人，確保整體整改工作有序開(kāi)展。

3、資產(chǎn)風(fēng)險(xiǎn)管控

資產(chǎn)的風(fēng)險(xiǎn)管控是基于資產(chǎn)的漏洞管理，對(duì)資產(chǎn)與漏洞進(jìn)行關(guān)聯(lián)性分析，進(jìn)而精準(zhǔn)定位漏洞。漏洞風(fēng)險(xiǎn)通常分為兩類，一類是常規(guī)漏洞掃描。目前市場(chǎng)上有很多掃描器，通過(guò)掃描器獲得的結(jié)果可以與資產(chǎn)的歸屬信息進(jìn)行匹配，可以快速輸出風(fēng)險(xiǎn)資產(chǎn)反饋給響應(yīng)業(yè)務(wù)進(jìn)行處置。另一類來(lái)源于威脅情報(bào)，例如一些0day漏洞，可以通過(guò)POC進(jìn)行驗(yàn)證和掃描，與資產(chǎn)指紋庫(kù)對(duì)比，輸出可能受影響的資產(chǎn)，交由各業(yè)務(wù)部門(mén)自行排查處置。最終，通過(guò)復(fù)核檢測(cè)流程對(duì)風(fēng)險(xiǎn)進(jìn)行閉環(huán)管理。

03 總結(jié)

企業(yè)網(wǎng)絡(luò)資產(chǎn)安全管理是網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)，要想保護(hù)好“看不見(jiàn)的資產(chǎn)”，就要持續(xù)發(fā)現(xiàn)和跟蹤企業(yè)內(nèi)外部網(wǎng)絡(luò)安全資產(chǎn)，利用各類采集技術(shù)采集資產(chǎn)狀態(tài)和指紋信息，持續(xù)跟蹤資產(chǎn)變化，以“檢測(cè)、驗(yàn)證、處置、整改”為主線，對(duì)企業(yè)漏洞治理現(xiàn)狀和問(wèn)題進(jìn)行持續(xù)監(jiān)控。通過(guò)采集引擎、異常分析、嵌入式流程化管控、風(fēng)險(xiǎn)閉環(huán)管控等環(huán)節(jié)，有效提升關(guān)鍵基礎(chǔ)設(shè)施漏洞治理效率，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保障企業(yè)網(wǎng)絡(luò)資產(chǎn)安全。