如何做好IT资产管理

介绍

如果想应用有效的安全控制措施，了解环境中拥有的资产至关重要。保护了解的信息要容易得多。

本指南解释了资产管理对网络安全的重要性，并概述了实现良好网络安全结果所需的属性和实践。

下面我们给出资产的实际定义，指出一些有用的数据来源，并详细说明资产管理和网络安全如何互惠互利。

资产管理挑战

即使在小型组织中，资产类型的多样性和庞大的数量也会使资产管理成为一项艰巨的任务。硬件、软件、虚拟基础设施、信息和在线账户都必须考虑在内。

这项努力是值得的，因为资产管理可以帮助避免许多安全事故。在需要的地方拥有正确的资产可视性，让您有机会在事故发生之前采取补救措施。

什么是资产？

资产可以被认为是任何可以为您的组织创造价值的东西。

这包括知识产权或客户数据等信息。它也涵盖多种技术，包括IT和OT、硬件和软件、物理位置和财务资本。当然，也包括您的员工及其知识和技能。

从网络安全的角度来看，我们主要对两种类型的资产感兴趣：

1. 
   

   必须配置或管理才能实现安全结果的资产。

   对于IT资产，IT服务管理标准（例如ITIL 4和ISO 20000）将此类资产称为配置项。

2. 
   

   可能因网络事件而受到影响的资产。

   这些通常就是要保护的东西。

影子IT

“影子IT”也称为灰色IT，是指组织内部用于业务目的但未纳入资产和风险管理流程或未与企业IT流程集成的IT资产。

此类设备令人担忧，因为它们不太可能符合组织的安全或数据治理政策，因此构成未知风险。

资产管理的重要性

资产管理并非只是创建那些用不着的清单或数据库。良好的资产管理意味着创建、建立并维护权威准确的资产信息，这些信息不仅能保障日常运营，还能在您最需要的时候做出高效的决策。

资产管理为网络安全的大多数其他领域提供了基础：

• 风险管理。理解和管理网络风险取决于资产的核算。如果资产被忽视，缺乏适当的安全控制措施将难以察觉，从而导致风险无法管理。
• 管理遗留系统。所有软件和硬件最终都会过时。超过这个时间点继续使用产品会增加风险，或者增加降低这些风险的成本。资产管理可以帮助企业确定系统何时将终止支持，并提前规划。我们的过时产品指南可以进一步帮助您管理遗留资产。
• 身份和访问管理。为了实施有效的身份和访问管理系统，识别用户和设备的能力至关重要。资产管理可以帮助确保所有用户和设备都拥有唯一的身份，还可以帮助识别需要应用访问控制的资源。有关更多详细信息，请参阅我们的身份和访问管理简介。
• 漏洞和补丁管理。网络系统的最佳防御措施之一是确保其不包含已知漏洞，因为这些漏洞很容易成为攻击点。掌握准确的硬件和软件资产信息，是确保应用可用更新并了解漏洞扫描位置的基础。每当发布高影响漏洞时，能够快速回答诸如“漏洞 X 是否会影响我们？”之类的问题也非常有用。 有关此主题的更多信息，请参阅我们的漏洞管理和漏洞扫描工具和服务指南。
• 监控。某些威胁无法预防，因此，您必须具备检测和调查潜在威胁的能力，从而减轻任何威胁。有效的监控能力取决于能否访问正确的数据。资产管理可以帮助您识别监控能力可能需要的相关数据源和补充信息。我们的“安全日志记录简介”和“日志记录和保护性监控”指南可以为您提供进一步的帮助。
• 事件管理、响应和恢复。了解您的资产并确定哪些资产对您的组织最为关键，有助于您规划、响应和恢复事件。通过确保不遗漏任何重要信息并掌握正确的信息，您将能够迅速采取行动，最大限度地减少干扰。
• 不仅仅是网络安全。大多数业务运营都依赖于资产管理的某些方面。这包括IT运营、财务会计、软件许可证管理、采购和物流。虽然它们可能并非都需要相同的信息，但各自的需求之间会存在一些重叠和依赖关系。安全方面不应被孤立地看待，也不应被视为资产信息的主要消费者，因此，在整个组织内整合和协调资产管理将有助于减少或管理这些职能之间的任何冲突。

将资产管理融入组织

资产管理的实施极具挑战性，它需要整个组织的协调。合理的资产管理不仅仅关乎技术。采购等非技术职能也必须纳入资产管理的生命周期。

鉴于这些复杂性，获得高级管理层的支持至关重要。此外，为整个资产管理系统指定一个“所有者”也至关重要。如果没有所有者，整个组织的协调将变得困难，资产也可能无法有效运作。

资产管理应成为企业架构或网络安全流程的一部分，并定期向高级管理层汇报资产管理流程的当前状态。

良好的资产管理方法应包括哪些内容

资产管理系统将具有许多可以从网络安全角度增加价值的功能。

您的环境可能已经具备利用部分或全部这些属性的工具。但所有环境都各不相同，因此您应该评估每个功能的需求。

以下列表详细列出了设计资产管理系统时应考虑的网络安全因素。此列表无序。

• 资产发现。使用工具定期或持续扫描您的环境，查找新增、修改或删除的资产。这有助于维护准确的资产清单，并可用于检测环境中未经授权的更改。
• 权威信息来源。维护一份人人认同且反映环境的资产记录。考虑规范化和整合资产信息，避免重复，并使其更易于访问。这确保所有利益相关者都能有效利用收集到的信息，而无需额外验证。
• 准确的信息来源。应定期收集资产信息，以确保其保持最新状态，并记录“置信度”评分或“上次查看”时间戳，以反映信息的陈旧程度或不确定性。由于服务器信息变化不频繁，每周收集一次较为合适，但出于配置核算或漏洞管理的目的，可能需要每天收集一次桌面信息。
• 资产信息的可用性。确保资产信息易于访问，以支持组织中的相关用例。配置管理数据库 (CMDB) 可能是资产管理解决方案的重要组成部分，但它可能需要一系列工具的支持，以促进整个组织资产数据的收集、处理、存储和使用。这确保收集到的资产信息能够得到有效利用。
• 人为因素。资产管理流程应满足整个组织用户的需求，并考虑可用性和可访问性等人为因素。务实的做法或许是必要的，以避免过度官僚主义。利用资产信息简化业务流程，有助于激励用户充分参与资产管理流程。这有助于确保资产信息的准确性不会因用户寻找变通方法和诉诸影子IT而降低。
• 自动化。应尽可能使用自动化机制来更新资产记录。理想情况下，工具应该根据环境变化记录资产信息，而不是在变化发生后才进行检测。应鼓励新项目从一开始就纳入自动化资产管理，以避免在系统开发或逐渐放弃的过程中产生技术债务。这有助于确保记录的准确性，减少更新遗漏或遗忘的可能性，同时还能减少后续成本和工作量。
• 完整性。确保所有资产均纳入资产管理流程。这应包括物理、虚拟和云资源，以及贵组织的互联网存在，例如社交媒体账户、域名注册、IP 地址空间和数字证书。这有助于避免任何资产未配置适当的安全控制措施，并且是合规性和漏洞扫描所必需的。
• 全面可视性。确定您的组织将如何使用资产信息，并确保收集足够的资产详细信息以支持这些用例。例如，了解计算机上安装的所有软件的版本，比仅仅了解操作系统版本更有助于识别更广泛的漏洞。如果某些详细信息可能难以捕获或成本高昂，请考虑是否可以降低捕获频率或追溯捕获，并结合网络隔离等其他缓解措施。这有助于确保资产数据得到有效利用，并且不会因收集方面的差距而变得无法使用。
• 变更检测。确保记录资产信息的变更，并使用多个数据源识别不一致之处。例如，网络上新发现的设备没有相应的设备管理注册。这有助于识别环境中未经授权的更改，并有助于调查安全事件。
• 保密性。考虑所收集资产数据的敏感性。应用适当的保护措施和访问限制，同时确保支持相关用例。例如，所有用户都应该能够查询其负责的资产，但应防止任意批量查询。考虑监控资产数据访问，以发现可能的侦察迹象。这确保资产数据能够有效地用于各种用例，同时使潜在攻击者难以找到有用的信息。
• 使用前注册。资产信息应在首次使用前或使用时收集。这可以通过流程和检测功能来强制执行。例如，证书身份应仅颁发给已注册的资产，以防止未注册的设备向其他系统进行身份验证。这降低了创建影子IT的风险，因为未注册的资产难以进入并驻留在您的环境中。
• 资产分类。考虑定义并使用类别对资产进行分类。这应与您的风险管理方法保持一致。例如，根据系统处理的信息的敏感度或是否支持关键业务功能对其进行分类。这有助于确定每项资产的相关安全控制措施，并监控其是否符合安全策略。

数据源

以网络安全为重点的资产管理系统所需的数据可能来自多个来源。您所需的信息不一定来自典型的资产管理工具，它可能是某个流程的输出。另请注意，一个工具可能能够提供多个数据源。

主动和被动数据源

应该考虑主动和被动数据源的组合，以确保整个环境的全面可见性。

您应该在安全且合适的情况下使用主动扫描技术。如果主动扫描存在问题，请使用被动扫描工具。基于主机的代理和网络扫描等主动来源可以深入了解资产。然而，由于网络限制或潜在的设备不稳定性，主动来源检测新资产的能力可能有限，或者可能不适用于某些环境，例如 OT 网络。

被动数据源可以通过查找副作用而非直接查询资产来提供额外的可见性。这可能包括网络源（DNS和DHCP日志或流量捕获）或应用程序访问和身份验证日志，这些日志可能识别试图与其他系统通信的设备。这些数据源不会像主动数据源那样生成那么多详细信息，但可以用来验证现有资产数据或检测环境变化。

示例数据源

一些示例数据源包括：

• 采购记录。了解已采购的资产，可以作为与资产管理数据库交叉引用的来源。这可能无法识别自由获得的资产，或通过非标准采购途径获得的资产。免费云服务就是一个典型的例子，其数据存储几乎不受监管。
• 移动设备管理器或系统/设备管理工具。许多系统配置或移动设备管理器可以捕获资产管理系统所需的信息。然而，这些系统可能仅捕获通用IT信息，可能无法支持传统IT系统。
• 日志记录和监控平台。这些平台可用于验证配置数据库或检测新的或更新的资产，包括云服务的使用情况。这可能包括主机或网络日志（交换机、DHCP、DNS、代理等）等来源。日志记录和监控平台可作为持续发现阶段的一部分。
• 漏洞管理平台。类似于监控和日志记录工具，它既可以作为持续发现的一部分，也可以用于验证配置管理信息的“单一来源”。此类平台还可以添加更丰富的信息，例如操作系统和补丁级别。
• 手动录入。有时，工具和自动化并不适用或不切实际。例如，当您只需要管理少量资产，或管理一些不常见的资产时。对于这些情况，仍应通过定期审查来保持手动录入的更新。
• 来自开发和工程团队的信息。设计、构建和维护系统的人员对基本事实拥有最深入的了解。架构图或设计模式等文档可以帮助您了解系统中预期的资产类型。
• 公钥基础设施。审计记录可用于识别已获得内部和公共证书颁发机构颁发证书的用户和系统。这可用于根据颁发的证书类型确定相关角色。例如，网络基础设施设备不应与公共Web服务器拥有相同类型的证书。

验证资产管理系统

怎么知道有些事情你不知道？验证资产管理流程可以确保没有无意中忽略任何资产。

应该考虑一系列场景，包括是否可以在不被检测到的情况下添加或更改资产。例如，如果用户将一台新笔记本电脑连接到您的网络，您是否有能力检测到该设备及其配置？或者，如果在设备上安装了新软件，您是否能够检查其是否存在漏洞？

可以通过多种方式来验证您的资产管理流程：

• 考虑在渗透测试范围内识别、添加和修改设备。这或许可以识别内部和面向公众的资产管理流程中的漏洞或弱点。
• 查找日志数据中的异常，例如来自未识别设备的网络流量。这可能表明存在未受管理的设备。
• 识别过时的资产记录。这些记录可能表明设备尚未更新，或者已被重新利用。
• 将采购记录和云账单与资产记录进行核对。查找已购买但未被资产管理流程捕获的资产。