一个“无主”主机的内心独白

阅读量    21549 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

这是一个关于资产安全管理的故事:

我是一个没有主人的主机,人们笑称我是“无主资产”。

我每天和“兄弟”主机一起工作在一个巨大的网络之下,但管理员还没发现我的存在。

作为一个“没人管”的孩子,我被一个居心叵测的人类盯上了。

我很害怕,他已经几次进入我的系统了,我感觉他在预谋着什么,我好想告诉管理员哥哥。

但是我做不到,因为我并没有在管理员记录的资产列表里,对呀,我是那个“被遗忘”的主机。

平时有病毒和安全风险进来,我都是没人照料的那个,我没有打过漏洞补丁、没有进行过安全评估、没经过最基础的基线检查,我知道我很容易被“攻破”。

如果因为我的“问题”成为跳板,让不法分子伤害到我的“兄弟”,和这个我工作了很久的地方,我真的会很难过!

我该怎么办……

我是管理员。

我的工作是管理运维企业内部的主机资产,并监控他们的安全风险。

国家、单位、相关领导对关键信息基础设施的重视程度我再清楚不过了,我身处民生支柱行业,深知我的工作结果可能会影响千千万万的人。

这使我压力很大,我现在的面临很多工作困扰。

这头一个,就是资产管理问题。

我的资产类表上并没有记录企业的全部资产,而已发现的资产也存在业务属性缺失,找不到相关责任人的问题,这将带来很大的安全风险。

我很想找到有效的办法解决这些疑虑和问题,做好风险管理的第一步。

 

这个主机和管理员在各自世界困扰的故事,体现了企业中资产管理的痛点,那就是:怎样将企业资产进行全面的发现、梳理,并进行统一安全管理。好的开始是成功的一半,如果连需要保护的信息资产——这一源头都没有理清楚,更加无法掌握全局视角的安全风险和网络威胁,再多手段的安全防护都形同虚设。

从当前网络安全形势来看:

于外,针对国家级关键信息资产的高级网空威胁一直存在,于内,国家网络安全法和各行业的管理规定都对资产安全管理提出明确要求。“心脏滴血漏洞事件”、“震网病毒攻击事件”、“委内瑞拉大规模停电事件”“乌克兰电网攻击事件”等针对国家级关键信息基础设施的网络攻击事件频发,要求企业要以国家安全观来统领关键信息基础设施的安全防护工作。

但在一个庞大业务体系的企业中,想要完成全部资产的安全管理是一件困难的事情,业务体系庞大、员工私建站点、测试环境未及时收回等情况会带来无主资产、僵尸资产等资产遗漏问题

  1. 无主资产、未知端口、未知进程、未知账号
  2. 已知资产上的未知软件程序版本,异常变更
  3. 资产软硬件信息不全

这一问题也不仅仅体现在大型业务体系的企业中,据调研显示:

  1. 在某高校信息系统中,有近30%的网络设备、中间件、业务系统、端口、网站等信息资产游离在安全管理之外。
  2. 某大型电信企业信息安全建设完善,但是其机构下属有10余家二级单位,多个子系统,没有进行备案登记,也被排除在二级等保范围之外。

资产是安全运营的基础支撑能力,合格的安全管理是建立在对于资产全面且精准掌握的基础之上,动态、周期性的资产监测以及及时的变更预警是非常必要的,保持对于资产部署分析、业务属性及应用上下游关系等清晰的认知,才能够将企业在互联网的暴漏面进行持续收敛。

作为网络安全风险管理的第一要素,当我们谈起资产管理,首先要考虑其发现的全面性,其次是其发现信息的深入程度。当将资产进行全面发现后,才有可能洞察相应环境的脆弱性,让防御部署做到有的放矢。

从全面性考虑,一般会聚焦到两个维度:主机视角和Web视角

在主机视角可以发现管理的资产信息包含:主机名称、操作系统、配置文件、主机端口、进程信息、主机上运行的Web站点信息、系统用户信息 、数据库、容器等。

在Web视角可以发现管理的资产信息包含:Web服务、域名站点、数据库、中间件、Web服务器等。

在完成全面资产发现后,要能够深入发现资产隐藏信息,并进行信息关联,才能细粒度掌控安全风险点,全局、深入监测资产安全,支撑整体、多维的安全运营。 资产有效信息的下钻,包含多个维度:

  1. 主机信息:主机名称、IP地址、主机状态、操作系统等。
  2. 域名信息:二级域名、三级域名……
  3. 应用信息:Web服务器类型、数据库类型、数据库版本、程序执行环境、Shell等。
  4. 硬件信息:CPU、硬盘、磁盘、内存等。
  5. 端口信息:端口类别、开放的进程等。
  6. 容器信息:容器ID、容器名、容器状态、镜像名、镜像大小、镜像仓库、Tag等。
  7. ……

全面、深入的发现资产后,对其进行有效维度的梳理、关联、分析,是决定风险发现效果的又一重要因素,能够实现资产关联属性可视化展示,明晰资产图谱,明确责任属性,在应急响应的效果上又可以精益一步。

在企业安全运营工作中,采用Web扫描和主机Agent探针发现,从Web维和主机维交叉发现全网资产,是在低成本、低投入的情况下,能够实现的最佳解决方案。长亭牧云(CloudWalker)主机安全管理平台和洞鉴(X-Ray)安全评估系统在资产的全面发现能力上均具备创新性的技术应用。

牧云(CloudWalker)主机安全管理平台通过轻量级主机Agent,持续收集主机中的资产数据,综合运用指纹识别、持续监测、CMDB、资产表、手工录入等技术满足多种场景下资产发现的全面性要求。

洞鉴(X-Ray)安全评估系统具备主机服务、综合Web探测和被动探测引擎,提供主机系统、Web应用和域名的多维度资产信息发现能力,借助流量或日志解析发现更多未知资产,掌握全量资产信息。

  1. “摸清家底”——借助流量或日志解析发现更多未知资产,掌握全量资产信息。
  2. 明晰资产关联关系——通过主动扫描对所有资产进行资产梳理,呈现资产间的通信关联关系,展现资产全貌。
  3. 定位资产归属——管理平台支持对资产追踪定位,每个资产在哪、由谁负责等都可以一目了然。
  4. 监控异动风险——对资产进行全面的定期巡检,时刻监控资产异动和风险情况。

资产安全管理能力将直接映射到企业安全运营能力中,具有良好安全资产管理的企业,可以在漏洞事件爆发时,快速定位风险资产,并根据风险资产清单、业务重要性、业务依赖关系、资产漏洞被利用的难度和漏洞修复建议,快速形成风险资产的处理建议,提升企业安全运营响应能力。

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多