九维团队-白队(管理) | 安全运营体系下的资产管理

关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其它一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

客户组织对IT资产管理的水平决定了其安全运营能力的上限，暴露面收敛、漏洞修复验证、威胁检测与响应、事件分析与处置，这些日常安全运营与攻防对抗中的关键活动，都需要有完善的资产信息做支撑。

暴露面管理紊乱、颗粒度疏忽、运营体系短缺等资产管理问题，严重制约了网络建设与运营水平的提升。

Gartner在2021年7月14日发布的《2021安全运营技术成熟度曲线》报告中提到了两个新兴技术：网络资产攻击面管理（Cyber assetattack surface management，CAASM）和外部攻击面管理（External Attack Surface Management，EASM），这两种新兴技术进一步指导安全人员去解决网络空间中暴露资产及攻击面的安全管理问题。

互联网暴露面资产一直是安全行业关注的重点复杂问题，接下来本文将从安全运营的角度，介绍下IT资产管理的一些看法。

Gartner在2021年7月14日发布《2021安全运营技术成熟度曲线》,文中提到的网络资产攻击面管理（CAASM）和外部攻击面管理（EASM）两个新兴技术，意图在于让安全人员更科学地去管理暴露面资产及攻击面安全。

从Gartner提出的安全运营技术成熟度曲线可以清晰看到，CAASM和EASM都处于技术萌芽期，不难理解这两种技术还在概念创新阶段，也在慢慢探索中，但是能引起外界的广泛关注，说明了资产管理在整个安全运营过程中是不可丢失的重要部分。下面简单介绍下这两种资产管理方面的新兴技术。

网络资产攻击面管理（Cyber assetattack surface management，CAASM）是安全运营的一项新兴技术，专注于使安全团队能够解决持续的资产可见性和漏洞挑战。它使组织能够通过API与现有工具的集成查看识别所有内外部资产，查询整合的数据，确定安全控制中的漏洞和差距的范围，并修复问题。

CAASM通过确保在整个环境中了解和修复安全控制、安全态势、资产暴露，使安全团队能够改善基本的安全状态。

部署CAASM的组织可以减少对自身系统和手动收集流程的依赖，并通过手动或自动化工作流程修复安全问题。此外，这类组织可以直观地以可视化的方式看到安全工具的覆盖范围，并纠正修复陈旧或缺失数据的原始记录系统。

• 资产监控：全面了解企业或组织拥有的所有资产，以了解攻击面区域和资产暴露面的安全隐患。

• 评估报告：通过准确、最新、全面的资产和安全控制报告，更快地审计合规报告。

• 数据可视化：将已经收集资产信息的各种现有产品整合到一个单一的规范化视图中，减少对手动流程的需求或对自身应用程序的依赖。

• 数据整合：访问整个企业或组织的多个团队的整合资产视图，例如企业架构师、漏洞管理团队和IT管理员，他们可以从这个视图中查询到对自己收益的资产信息。

• 安全管理：降低从影子IT资产、安装的第三方系统和IT缺乏治理和控制的业务线应用程序收集数据和获得安全可见性的阻力。安全团队需要这些地方的可见性，而IT可能不需要。

外部攻击面管理（External Attack Surface Management，EASM）是指为发现面向互联网的企业资产和系统及相关漏洞而部署的流程、技术和托管服务。示例包括可能被对手利用的服务器、凭证、公共云服务错误配置和第三方合作伙伴的软件代码漏洞。

虽然EASM通过堆叠产品（例如数字风险保护服务（DRPS）、威胁情报、第三方风险评估和漏洞评估）来提高类似的能力，但供应商提供的能力方向各有不同，需要重点关注市场需求，并在全球范围内进行扩张。

• 监测：持续扫描互联网上的各种环境（如云服务和面向外部的企业内部基础设施）和分布式生态系统（如物联网基础设施）；

• 资产发现：发现和清点企业未知的面向外部的资产和系统；

• 分析：评估和分析资产属性，确定资产是否存在风险、脆弱性或异常行为；

• 优先级：对风险和漏洞进行优先排序，并根据优先排序分析提供预警和优先级分析；

• 修复：提供相关优先威胁缓解和修复补救工作流程，并集成像工单系统、事件响应工具、安全编排自动化响应（SOAR）等解决方案。

EASM有助于识别未知资产，并提供系统、云服务和应用程序等对攻击者/在公共领域内攻击者可用和可见的信息。

当前大部分企业不管是组织采用现有资产管理系统/平台，还是用人工线下维护EXCEL表格的方式进行资产管理，基本上都是以硬件设备属性、操作系统属性、业务应用系统属性、IP信息属性这些维度进行资产管理。

这种粗颗粒度的资产管理对于一般的IT运维管理或者资产盘点需求是足够的，但在网络安全运营及攻防对抗中，针对新爆发的应用组件漏洞或者安全攻击预警，是需要掌握足够的资产属性（如IP地理位置、快速定位受影响业务、主机、应用系统及相关责任人等）才能有效支撑整个安全运营过程中最基础的管理工作。

传统的资产管理从资产发现、资产梳理到资产入库，都是由安全运营蓝队或者是企业内运维驻场人员去考虑需求，在这个过程中很少有运营团队会从攻击者的思路或者让红队人员参与。

网络攻击者在进行攻击前需要收集目标系统尽可能完善的信息，如域名、IP、端口、应用版本、组件信息、URL、VPN入口、后台登录入口等关键信息。

这些资产的属性在传统的资产管理表或者资产管理系统设计时基本上都没有考虑的，因为系统的开发人员大多数是在后端，很少有系统研发人员清楚了解并参与到攻击者的角色当中。

资产信息收集难主动，主要是因为企业所属的安全运营部门主要是通过资产负责人主动上报的方式来收集资产的，至于其他被动发现资产的场景，最常见的就是在HW的过程中发现被攻击的资产不在收集的资产中，还有就是在被监管单位发现了存在漏洞等安全问题的资产后被通报了才发现该资产未收录，然后再去排查或录入资产，以上方式让资产的收集工作变得十分被动。

之所以会发生上述问题是因为这些现场没有真正做到资产周期性探测，只在传统安服项目开始阶段做过资产探测，并没有把资产探测当作是周期性工作；甚至有小部分现场的客户没有资产探测的概念，一味依赖于资产负责人主动上报，从来没做过资产探测。资产未能做到全覆盖收录，这就为安全管理埋下了隐患。

此外，端口开放、应用部署未有完善的流程管理制度予以约束及管控，这就在根源上增添了潜在的安全风险。

有些企业存在这样一种情况，新增资产不部署任何应用或不带业务先上线，后续才部署应用开始承载业务，其实就是变相的绕过了安全检查上线；至于资产变更，比如说应用的版本变更了未能及时同步更新，由于兼容性等问题降低版本导致业务系统存在版本漏洞；同样资产的下线，最常见的例子就是业务系统的迁移或迭代，业务系统迁移迭代后为避免新系统在不稳定期间造成的业务中断，原系统资产下线不会立即下电，会空跑几个月，等新业务系统稳定后再下电。

上面这些例子一般持续的时间比较长，在此期间存在的安全风险就难以掌控，这也就带来了不可控的安全风险。

非法接入资产难排查，典型例子就是违规上线资产。在部分企业中，资产负责人为了按时完成上线任务，不遵守相关安全管理制度进行安全检查，不接入4A安全管控平台就违规上线，违规上线资产不受监管同样也会带来不确定的安全风险。

安恒信息安全运营体系下的资产管理服务是以安恒信息自主研发的AiCSO网络防御运营管理平台为支撑，由安全运营专家通过多类专业工具多维度探测发现企业信息资产，借助资产弱点管理模块以资产清单导入、扫描探测发现、人工录入、对接CMDB配置库等方式集中梳理企业信息资产并实现资产、业务系统、资产责任人的关联，同时监控企业资产的上线、变更、转移、下线等信息，逐步构建安全资产指纹信息，实现企业资产的全生命周期管理。

在此基础上，还将联合企业现有的流程和制度，通过资产弱点管理模块及相关流程管理功能把组织、流程、工具有机结合在一起，帮助企业全面、准确、实时了解资产现状，消除资产风险，协助企业建立并完善资产安全管理制度，落实安全管理责任人制度，从而有效管控资产管理盲区，真正实现企业资产全面纳管，企业资产风险可视、可控、可管的安全目标。

作为安全运营过程中一个重要组成部分，资产管理承担着各类安全对象从发现或导入、存续管理、风险分析、变更监控及下线销毁等全生命周期的维护。具体提供对各类网络资产的增删改查，导入导出等的配置管理、统计分析功能。

• 资产调研：整理原有的资产材料，摸清资产现状，按照规范的资产信息调研表让厂家维护人员尽可能反馈详细的资产信息。

• 资产梳理：梳理现有维护资产信息和调研反馈信息，整合这两部分信息去除脏数据，形成初期资产信息表。

• 资产发现：使用客户现有的资产探测工具如漏扫、Nmap、SUMAP等，对全网资产进行存活、端口开放、服务版本信息等属性进行扫描，对探测结果进行人工二次校验核对。

• 资产准入：通过资产发现功能，实现网络空间测绘。当未知设备接入网络时发现资产，给出资产类型、厂商、实例标识，待审核无误后方可上线。

• 资产建库：对于准入的资产，通过资产建档录入资产弱点管理平台，建立资产实例档案，以便后续的对照和引用，并对外提供资产数据服务。

• 变更稽查：通过周期性或者被动的资产画像，与建立的档案库基线对比，识别出资产的变更，如增删等。

• 资产画像：通过人工或者自动化的资产主动、被动发现，获取到资产相关的属性数据，识别出资产各维度特点。

安全运营团队需要建立基于资产威胁监管视角的安全资产管理理念。事前发现梳理安全资产，及时收敛资产脆弱性暴露面，是性价比最高的资产安全运营管理手段。

资产管理和脆弱性管理是密不可分的，无论是用传统人工探测的方式进行脆弱性扫描，还是利用自动化平台进行脆弱性的闭环管理，其最终维度都是以资产为中心，资产信息在整个漏洞扫描、脆弱性评估、漏洞整改全生命周期管理中贯穿整个过程。

安全运营人员应该从攻击者视角重点关注资产指纹细节及其带来的脆弱性风险，例如高危风险端口暴露在互联网上带来的重大隐患，又比如敏感代码泄露在第三方平台带来的直接或间接的风险。

全面的资产信息为脆弱性管理提供最基础的支撑，资产指纹属性方便安全漏洞被快速匹配定位到对应业务系统和相关方，从脆弱性管理的需求来看，只有针对性的关注资产细节，才能有效的面对由资产管理导致的脆弱性风险问题。

威胁狩猎将安全情报输送给安全运营团队，并且从事件响应团队获取狩猎规则，整个过程都是围绕着企业的资产进行协同联动。组织收到可疑告警，通过调查上下文、威胁情报、比对匹配信息资产，确定是否升级为事件；最终以资产的视角，隔离失陷的用户、设备、应用等，封堵威胁，以防进一步渗透。

对企业资产信息的深度掌握，在应急响应过程中更加重要。在勒索病毒肆虐的时期，谁能快速精准的定位出企业网络中有多少主机开放了445端口？在安全事件发生时，如果能在第一时间定位受影响的业务及资产范围，对整个应急响应的事件分析研判速度有很大的提升，且详细全面的资产属性信息对采取应急处置的策略性、有效性至关重要。

通过资产管理过程中详细的资产属性记录信息，可以快速确定相关业务责任人和系统运维人员，更能直接定位受安全事件影响的业务范围，精准的资产归属信息能够及时协调业务相关方与应急响应人员共同根据入侵痕迹、相关日志等关键信息进行应急响应事件分析研判及排查，并且能够快速给出有效的应急处置措施，从而有效缩短了MTTR值。

总之，科学的资产管理体系是互联网暴露面管理、脆弱性管理、威胁检测与分析、事件响应与处置的重要基石，如果资产摸不清楚，安全运营工作到后期会有一个很大的阻碍，资产管理的科学化、专业化、精细化催生着安全运营的完善和进步。

• 双十一别急着剁手！你买的究竟是好物还是教训？——细数那些网络购物的诈骗手段

• 九维团队-红队(突破) | HackTheBox靶场BountyHunter渗透记录

• 一文带你了解安恒信息关于安全运营的核心理念

• 《中华人民共和国个人信息保护法》全文

• 解读|《个人信息保护法》正式实施，如何影响你的工作生活？