浅谈资产-安全-管理之应用篇：对症“下”药

大家都认可了资产和漏洞的基础能力价值，因而逐步开始对资产和漏洞进行集中、完整、跟踪变化的管理模式。具体到应用层面，我们需要关注如何将资产与漏洞的管理纳入网络安全防护的体系中。

我们都知道，网络资产攻击面管理平台主要是将资产和漏洞进行有效管理，做好网络安全防御的事前工作。CAASM的价值在于，可以最快速的把告警中被攻击的IP与业务和重要性结合起来，将追踪溯源到的直接线索（如暴露的重要业务系统的资产所进行的命中攻击，或者是直接从外部到隔离网络内部资产的告警）反馈给高级分析人员来进行后续的分析和研判。

有了直接线索后，就可以利用攻击面的“图”汇集来的数据，结合路由和访问控制的信息，形成攻击链来帮助分析人员进行攻击过程的研判。当然目前从资产、漏洞到攻击链的溯源技术还有待进一步发展，毕竟攻击链的信息需要路由信息、访问控制信息，甚至是资源池信息等信息的采集与整合，本身是与资产的扫描与识别不同的。更为关键的是，把大量的资产与上述信息结合起来，最后形成攻击链的详情，并且对于每一个资产都能拉出对应的攻击链关系图，这就更需要大量的数据关联能力，对数据的分析、关联能力和算法也是极大的考验。而从告警中反向来调用这个攻击链数据，再与其他的告警信息进行关联，难度就又上了一个台阶。

这里还有一个隐藏难点，很多单位其实在不断的梳理访问控制关系，比如各业务之间的精细化访问关系，希望实现基于单个IP和端口的访问控制逻辑，这就是我们经常说的最小化策略。对于业务量大，升级更新快，甚至还有很多老旧业务的组织，运维部门、安全部门在做访问控制的时候，会采取不断收口的方式，最终形成完整的访问控制策略表，最终落实在交换机或者防火墙上。做得比较好的是互联网出口，但如果每个安全域都做最小化策略难度就太大了。既然最小化策略很难，那建立在其数据之上的攻击链难度可想而知。

还有就是，对于攻击或者可疑行为很多时候以封禁为唯一的快速处理手段，这个处理方式肯定是必须的，但是我们也需要针对目标IP进行深入的排查分析，从而确定影响范围和破坏程度，毕竟任何的攻击抑止都是以止损为目的的。而深入的排查就需要资产的更详细的信息，例如实体机器的位置、所属的业务和部门、对应的运维人员，当然也包括软件系统、操作系统、版本、开放的端口和服务、组件等，甚至是合规性和是否存在漏洞，漏洞名称和类型等等。有了这些信息，再深入探寻更多的可能被入侵的信息，甚至是残存文件的搜寻、残存代码的逆向等，找寻蛛丝马迹，定位攻击者最原始直接的信息，从而最大化的排查出所有的攻击影响，明确影响的程度，反制也罢，后续的专项防御能力提升也好，至少要保证类似的攻击手法能及时发现和阻断。

通过资产攻击面管理，我们提升了事前的自我防御能力，使原来的安全防御体系更完备，并且对内部资产情况了然于心，对可能来的危害点进行必要的重点加强，甚至对可能存在的薄弱点脆弱性也及时的进行加固和重点监控，最大程度的防止被利用，被攻击，被破坏。

在网络资产攻击面管理平台从海量告警中快速发现和判定攻击行为后，也可与组织中已有的态势感知平台联动，对被入侵的资产进行多维度的展示，从而可以让运维人员非常直观的判断出告警的重要性。同时，分析人员也可以将网络资产攻击面管理平台与态势感知平台、流量采集平台联动调用资产的详情数据，快速定位被入侵目标、找到责任人开展深入的痕迹提取，这种快速很大的程度是需要资产安全管理平台系统提供相应的数据，因而资产库、信息库数据是需要具有API接口来提供给其他系统进行调用的。

网络资产攻击面管理系统也可以是一个独立的模块，能够将资产和漏洞数据纳入集中管理的范畴，发挥最基础的价值，明确网络安全防护真正需要保障的对象，明确自身的防护薄弱点和不合规，将资产数据与物理、社会维度的信息关联起来，这些都是资产、漏洞数据在网络安全对抗中的价值，也是将其数据应用到完整的安全运营体系中不可或缺的部分。另外，网络资产攻击面管理平台也可以像态势感知一样接入一些流量告警数据，特别是一些流量安全检测产品告警的精准安全事件，那就可以在网络资产攻击面管理的基础之上，完全以资产的视角看到完整的安全风险全貌。从而资产将承接前端所有系统的IP、域名等信息，具备了态势感知、挂图作战、智慧运营的各种应用场景，是一个既独立完成厘清家产、找到薄弱的系统平台，又在整个安全运营体系中实现资产视角全貌安全风险的能力平台，三防六化也好，智慧安全运营也好，安全大脑也罢，都在展现着最基础又最全面的安全运营属性。

安全运营体系的核心是降低人在安全运营中的核心地位和加快所有安全运营过程的响应速度，网络资产攻击面管理平台通过资产和漏洞的归一能力，为安全运营送上了一剂还算不错的良药，并且已经在很多大型企业用户中测试验证效果，相信在不久的将来可成为提升运营成果的最佳良方。