随着数字化转型,信息系统日益增多,这也组织带来了信息安全隐患。很多大型组织都提出了资产全生命周期管理的口号,主要想解决的就是资产情况不明、责任不清的问题。对信息资产全生命周期的动态数据和流程化数据进行采集、挖掘与分析,进一步实现信息资产全生命周期的精细化管理、数字规范化管理【1】。
这个环节就是要摸清全网的资产,除了手动采集外,还会用被动流量分析和主动探测发现的技术手段来资产摸底。有的朋友会好奇:“自家的资产还不清楚吗?没有统计吗?还需要技术探测才能搞清楚?” 别忘了,我们这里说的是大型组织,比如政府教育部门下属就有很多信息系统,只通过层层上报的方式统计准确吗?
被动流量分析: 一种是在网络出口旁路部署学习引擎,对镜像流量http/https进行分析,发现对外提供服务的信息系统。一种是在内网安全域部署探针,通过类似DPDK(Data Plane Development Kit)的深度检测学习发现内网的信息系统。
主动探测发现: 对网络地址段进行全量端口扫描,这个方法主要利用了ICMP协议的应答数据包,有很多现成的软件都可以直接用的,比如开源的goby。
摸清资产底数后,我们就要对资产进行细致的画像。画像其实就是填充资产信息,常见的有:设备指纹(设备类型、操作系统版本、设备品牌等)、服务端口(标准端口、非常用端口、不合规端口等)、应用指纹(应用类型、应用开发框架、应用开发语言、应用备案信息、应用域名信息等)。掌握了指纹信息后,一旦某系统或某中间件爆出漏洞,则可快速确定网络中使用该版本的服务器,为后续的应急处置提供条件【2】。
除了这些常见的,还有不常见的信息,比如等级保护是是否开展、敏感数据的条数、漏洞信息、合规检查中发现的脆弱性、责任单位、责任人、联系方式等等。
总之,站在安全的视角,画像是“像素”越高越好,意味着我们需要尽可能详细和精确地收集和分析信息,以便更全面地了解潜在的安全威胁和风险。然而,我们不能仅仅站在安全的视角,还要平衡实施成本和资源分配,因此可以采取分等级画像的策略。对于安全等级高的系统或资产,“像素”就要高清一些,即需要进行更深入、更细致的信息收集,确保关键信息和资产得到充分的保护。对于安全等级低的系统或资产,“像素”可以相对低一些,填报的信息就可以少一些。
虽然我把资产画像放在第二个步骤中,但其实画像是一个持续的过程,资产的信息是动态变化的,比如漏洞新增了、漏洞修复了都要及时修正。所以,我们要知道,画像是在下面各个阶段中动态变化的。
三、对资产进行安全建设管理
接下来,我们应该根据收集到的资产安全需求,建立安全基线。资产安全需求一般从等级保护2.0、行业规范、上级单位发文而来。主要有:身份鉴别、访问控制、安全审计、数据备份、应急响应、入侵防护、数据保密性和完整性等。
建立了安全基线,就需要满足基线要求,还需要通过定期漏洞扫描、渗透测试、态势感知等技术不断监测信息资产的安全状态。这个属于运维方面的工作,用数据流通过工作流(工单)推动。
这个过程,资产相关信息数据肯定是在变化的,不过没关心,变化的信息都及时更新到资产指纹数据库中了。
对有安全问题的资产、废弃资产、临时资产要及时回收,回收域名、IP地址、服务器等资源。回收数据要在不同角色之间共享,达到共同治理的效果。资产回收,资产也就走完它或平淡或充满影响力的一生了。
[1]郭娜,张慰,张文艳.高校信息资产的全生命周期安全管理方案研究[J].网络安全技术与应用,2022,(4): 89-91
[2]谢党恩,梁瑞,常思远,等.浅谈高校Web资产的全生命周期治理方法[J].网络安全技术与应用,2020,(09):96-98.
ps :本人最近在写网络安全管理平台功能需求分析的论文,想请正在用相关平台的用户,或者研究开发过相应产品的友友联系我,给我提供一些功能白皮书看看,我后续还可以发一点调查问卷,收集多点数据。
加我V:catfishfighting,备注安管平台,不胜感激。
原文始发于微信公众号(透明魔方):浅谈信息资产全生命周期管理
评论