引言
资产管理是 IT 治理永恒的主题之一,就像阳光、空气和水,不起眼却不可或缺。
——《企业安全建设指南》
信息化的迅猛发展,彻底改变了生产生活的方式,也成为社会进步和经济发展的重要推动力。但作为信息化重要的载体——IT资产,近些年却饱受安全威胁之苦,勒索病毒、挖矿木马、资产信息外泄等重大安全威胁至今未能彻底根除,更不用提那些连续爆出的高危的、可利用的安全漏洞。业务依托安全,安全服务于业务,IT资产的安全问题如果无法得到有效解决,最终会给信息化建设发展带来极大的风险和阻碍。
安全现状
资产安全管理很重要,但总是被选择性忽略。
现有的安全建设理念,更多的是选择在资产的外围架设各类安全产品和安全能力,对安全威胁进行边界性的防御,反而忽略了资产自身安全性的加固。针对资产本身,也只是采用商业甚至开源的漏扫工具对资产进行漏洞和风险初步管理,缺乏完善、可落地、可持续的资产安全管理体系,难以满足安全需求,重外轻内,导致资产安全性直接取决于外围安全建设质量。当外围安全产品和安全能力一旦出现问题或无法保持较高防御水平,甚至面临高级攻击行为时,犹如马奇诺防线一样,一触即溃,IT 资产瞬间变成了待宰的羔羊。
选择性忽略资产自身安全建设,确实也有诸多的苦衷,庞大的资产数量和类型、漫长又缺乏科学规划的资产建设周期、资产的使用和管理跨越多个部门等等,长此以往,进入死循环,发生安全问题后进行有限的修修补补,还极有可能带来安全责任的扯皮现象,无法根本性解决资产安全问题。
对于IT资产,安全产品和能力的引入,决定了安全的上限,自身的安全强度,决定了安全的下限,面向资产本身的安全管理建设势在必行。
总体思路
资产安全管理分为很多维度,在安全视角来说,是从安全运营管理角度看待资产,通过对资产属性进行安全管理,消除资产管理中的安全隐患,保障IT资产的安全性。
IT资产自身的复杂性和当前严峻的安全形式,寄希望于通过单一的管理手段或安全工具都很难满足需求,并且以往的经验证明,安全建设与业务形态无法深度结合,也会使安全效果大打折扣,不具备可持续性。
所以,基于自身资产和业务情况,建立符合实际的管理制度和覆盖资产全生命周期的管控流程,再依托有效且针对性强的工具和技术,相互融合,互为支撑,形成一整套资产安全管理体系,是解决当前困境的一个可行方向。
1. 资产安全管理制度
管理制度难以发挥自身价值,甚至容易沦为摆设的原因有很多,主要总结为以下几点:
-
制定管理制度出发点有偏差,追求大而全,不符合安全现状,难以突出重点。
-
缺乏有效的工具支撑,导致制度的执行质量缺乏有效监管手段,无法进行量化考核。
-
缺乏更新意识,无法针对资产和业务形态的不断演进提供制度支持和规范要求。
各行各业存在不同的监管要求和安全需求,所以资产安全管理制度的制定也存在较大的差异化,但要使制度得以良好的执行,真正在实际工作中发挥价值,有些共性的原则需要遵守:
1) 明确目标和预期
资产安全管理制度是管理体系各维度的操作标准和底线,既要对整体的目标和管理预期进行明确,结合各个维度的差异化特征进行管理目标的分解和预期效果的差异化要求。
2) 对业务和安全现状充分调研
没有调研就没有发言权,基于充分调研和分析,制定针对性的资产安全管理制度,除了避免监管死角的存在,也在责任划分更加清晰,能够为安全管理提供制度支持,更有利于制度的执行和权威性的保障。
3) 针对性进行工具和技术支撑能力建设
在工具和技术的选择上,需要以制度的可充分执行和管控流程的有效落地实践为标准。
4) 灵活性和可持续性
制度需要随着资产和业务的不断变化进行适配,对新业态的风险点及时提出规范性要求,是安全性的保障,也是权威性的体现方式。
2. 资产安全管控流程
管控流程是管理制度的重要组成部分和实现形式,将人、各相关部门、资产本身、业务等方面均纳入其中,覆盖IT资产诞生到下线各个环节,将各个阶段风险性和脆弱性将至最低。
对于IT资产而言,尤其是风险性高的主机和应用类资产,管控流程需要以重要的节点为分界,针对不同阶段实行不同的管控流程。
针对应用系统来说,以系统上线作为分界点,上线前的开发过程需要在产品设计、代码实现、软件测试、预上线等各个阶段进行安全管控, 在管控流程中设置安全阈值,当整体或各个阶段安全要求达到要求才允许上线。该方式通过流程管控的方式,既能够实现安全前置,还确保了上线资产的自身安全性。针对上线后的应用系统资产进行常态化的监测,对资产的状态进行监测的同时,也对其安全风险(漏洞、基线、端口等)进行检测和预警。
针对主机层面,可针对第三方或内部部门设置管控流程,对上线前的主机各个维度进行安全性检测,例如操作系统漏洞、弱口令等,避免将风险带入内部,也能够提前明确各方责任。
3. 产品工具支撑
产品工具的选择非常重要,是做好IT资产安全管理的前提和基础。在目前IT资产的现实情况下,没有合适可靠的产品工具输出安全能力和技术,再好的资产管理制度和管控流程都是纸上谈兵,没有真正的安全建设可言。
总体而言,产品工具应具备以下特点:
-
基于攻击视角的技术思路
知己知彼,百战不殆。站在黑客和攻击视角去思考资产安全如何建设,能够避免安全死角的存在,有效应对各层次的攻击威胁。
例如在资产管理过程中,通过安全工具内置的设备指纹模型,自动在环境中发现影子资产的存在,能够及时进行风险加固,纳入日常安全管理,有效解决了因建设周期过长或人为遗忘等原因造成的内部风险资产安全管理部到位的情况。反过来,资产指纹模型具备自我更新能力,又提高了指纹模型的丰富度,最终转化为后续的安全能力。在安全漏洞层面,尽可能采用模拟人为攻击的方式进行发现和验证,极大提高准确率,抵御黑客攻击威胁。
在核心IT资产层面,可以通过伪装出带有安全漏洞的端口服务的方式,采用主动欺骗防御技术,将高端黑客攻击流量引诱至高交互蜜网进行监控和分析,隔离攻击,保护真实IT资产的同时,及时预警。
-
具备资产全生命周期安全管理能力
资产自身的脆弱性是易遭受安全威胁的重要原因,应用系统类资产尤其饱受安全漏洞之苦。所以利用安全产品和能力在资产的开发过程、上线运行等阶段进行介入,将安全因素融入资产全生命周期中,能够降低后续一系列安全问题的潜在风险。
-
软件开发过程安全 (SDL)
在设计、代码实现、系统测试阶段依托威胁模型输出、自动化代码安全检测工具、自动化交互式应用安全检测工具将资产的安全漏洞在各自阶段及时发现处置,不仅能够检测出软件系统的结构性安全漏洞,也使资产上线前就具备极强的健壮性。
-
资产运行常态化安全监测
利用工具对已上线的各类IT资产运营状态和安全风险进行监测,能够对资产的存活性、上下线、安全漏洞、基线、资产暴露面进行实时监测,为安全部门提供了对所有资产的可视化监管能力,更重要的是,对于采购商业工具的,安全厂商能够针对业内爆发出的1day漏洞及时提供插件检测支持,及时修复漏洞。
-
较高的IT架构适应性
在传统网络架构和云架构并行的时代,安全产品能否适应资产所在的网络架构类型,也成为影响安全效果的重要因素。例如对于云平台资产安全,主机和应用系统分散在各个VPC内,无法像传统网络一样进行安全产品部署,在成本和统一运维层面考虑,不可能在每个VPC内部署资产安全管理系统,这就要求安全产品具备灵活的模块拆分和联动能力。可将采集或扫描模块部署在各VPC内,实现资产各维度信息的采集,依靠统一的管理端进行资产安全运维。在云架构和传统网络架构共存的情况下,同样可采用该方式进行混合架构下的资产统一安全管理。
VPC私网资产发现与漏洞监测
-
安全产品与业务良好的匹配度
安全也是一种服务,安全产品细节无法与业务进行良好的匹配,反而影响正常业务,也是资产安全建设不顺畅的重要原因。这就要求安全产品在保证安全效果的前提下,尽可能的采用非侵入式的方式。例如在软件系统开发过程中的软件测试阶段,将测试流量复制镜像后转化为安全测试流量,对软件系统进行安全测试,既不影响软件开发测试进程,也实现了资产安全检测工作。针对业务形态变化快,应用系统更新频繁的情况,引入软件安全开发全流程产品体系(SDL),可在上线前自动化完成安全检测,与传统人工渗透方式相比,效率和安全可靠性都得到了保障,真正实现安全服务于业务的理念。
结语
IT资产的安全性决定了业务和服务的安全可靠程度,在安全监管不断强化和安全形势不断恶化的现状之下,资产安全管理建设将逐渐成为关注的焦点,也是投入产出效益较高的安全工作之一,值得精耕细作。
↑↑↑长按图片识别二维码关註↑↑↑
原文始发于微信公众号(全栈网络空间安全):从体系化建设视角浅析IT资产安全管理
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论