关于资产动态管理及内外网IP映射的实践心得 | 总第222周

‍‍

‍‍

0x1本周话题

话题：在漏洞运营治理方面大家各自有什么实践心得和感触？

A1：漏管的第一公里和最后一公里就是资产管理问题。漏洞管理平台如果能联动SDL平台，可能也是能够提升漏洞管理水平的一种思路。

A2：漏管有标准化的产品，漏洞类型，漏洞级别等都需遵循相关的标准，但看是否符合单位的业务要求。目前是有两类：一类是完全按照漏洞库建设，漏扫+进行通报+处置，另一类是以资产的角度建设，先做资产发现+管理+漏扫+处置。个人觉得从资产角度符合趋势，更容易扩展到内网+互联网。

A3：漏洞管理有两种建设路径：第一种，以漏洞为核心，资产作为字段补充；第二种，以资产为核心，漏洞是资产的属性之一。内外网IP映射。同时我们是二级管理平台，下给SDL，上给SOC。

A4：我们漏洞和安全事件管理平台直接用飞书的多维表格做的，自动录入、建群通知、生命周期管理、看板都很方便。

A5：第一步最难了，资产动态化管理。还要定期做资产发现，排除影子资产。

A6：资产不是自己做，我们的实践是，cmdb该谁做谁做，设施部门既有这方面的愿景和领地意识，领导也有指示要求，但我们提接口要求，我们来用这个数据，各部门负责数据质量，设施牵头。比如属主不对，缺乏代理vip，存在未纳管资产，我们用数据发现问题也是帮他维护数据质量。

A7：资产平台应该是运维来做，资产探测、asm等发现影子资产，提出各种类型资产的需求和与安全的关联工作需要安全来搞。

A8：安全提要求，但是得做cmdb的牵头，运维团队参与。如发现未纳管资产，直接断网，要不管不住，新资产必须登记注册，有流程规定啊。新增资产不先登记，肯定不能访问，不提供服务。

A9：dev和oa环境还好，生产环境可不敢，直接断网影响到业务的话就麻烦了。现有业务系统的资产会先给登记好，以前的都白名单，断网针对的是新增资产。发现未纳入的资产往往是历史遗留问题。

A10：做完资产梳理，排查到位了，在线系统的资产都能发现的啊，除非关机了或者本身就断联状态。可以构建scmdb，通过云平台、VMware API自动化资产动态更新，也可作为其他安全服务的基础数据。

scmdb主要是多重数据的融合处理，流量的，agent/api上报的，主动扫描的，定期检查数据质量，cmdb提供组织和业务系统数据。

A11：我这边仅做了个存活资产管理，就发现新增的还好，难的是不知道是否还在用的，存续的是否有变更用途，只要这些维度来源于人，就始终存在偏差。人登记的这部分，是很难治理的，系统上下线，负责人变更这种的同步。

A12：每天 ping，输入网段，网段设置好以后，每天批量监测一次。但ping的话有个问题，没有ping通的可能是禁ping，不一定是不存活。

A13：应该不止一个资产发现渠道吧，可以结合 hids 来发现吧。还有结合全流量、外网类似fofa的工具。

A14：关于内外网IP关联，我们自己也开发了个模块，最适合当下安全现状的系统和工具才是最好的。之前还讨论过ng的问题，现在关联一层还不够了，可能还要多级关联到ng、到k8s，才能知道最终响应端是什么。

Q：这个能介绍一下吗？这个问题我们纠结好久了，之前想过对接F5，但是没有做，感觉不是最优解。

A15：其实就是个增删改，外网端来源是nmap，内网端来源是f5，现在是全自动了，只要维护好内网的ip资产是啥就行了，获取边界的映射关系，最优解就是外部探测，关联F5的map数据，每天去更新。

结合f5就是最优解，直接从外网域名、ip定位到服务器。

A16：映射一方面展示数据，另一方面，一定要具备保持更新映射数据的手段，不能初次建立，这个数据变成死数据，能自动化获取客观数据的一定要自动化，等着流程或者他人告知，到后面数据质量就很差了。

A17：主要是 nat了好多层，有F5 NG 还有其他品牌的负载，这个数据取是能取，就是有点麻烦。

f5只能取到第一层，后面还有很多层，要一层一层取。除非内网转发也都用f5。

A18：有NAT、映射的平台系统肯定是都要取才能分析全。还有一堆API gateway。如果有厂商能搞出这套产品那估计要卖爆，从原理上就是有难度的，调用F5 API，跟解析ng的 proxy配置文件，这不是一个活。

A19：理论上就是图模型，模型定好了，存进去以后，配合一个前端查询就比较方便，f5简单。自己写也可以，就是exception太多。而且还可能在不同环境，有的在云上，有的在机房。复杂了之后你系统建表也复杂的，每个service都不一样。

A20：用图数据库。f5的资产关系可以在ip，ng的映射关系可能要到url，那么url也要做成资产。上半年调研过一些厂商，在做scmdb的互联网和内网资产映射关系，但是好像还没有落地

A21：我们正在做。现在已经发布了，目前在一些客户做测试，再打磨下。

A22：ng这块我觉得的确是有难度的，如果单纯只是个管理系统那跟excel区别不大，配套的需要通过agent还是系统权限去找ng的配置文件，找了之后分析proxy_pass关系，然后怎么更新的，更新之后怎么关联到这个管理系统。

A23：我们取了所有防火墙、所有云的出口信息，另外有些服务器双网卡直接公网的也从HIDS里取了信息。

原文始发于微信公众号（君哥的体历）：关于资产动态管理及内外网IP映射的实践心得 | 总第222周