今天写一篇资产管理相关的扩展拾遗,有感于《CIS Controls中关于资产管理都有哪些条款》中的数据、账号等资产的条款要求,以及知识产权、数字品牌保护相关泛资产管理的内容,算作前面四篇文章的一个补充,同时也是资产管理系列的一个总结。
一般情况在讨论资产管理时,更多还是硬件、软件资产为主,并不包含数据类资产。但无论是结构化数据,还是非结构化数据,都是企业的重要资产,具有比软件、硬件等实物资产更高的价值。既然这样,数据资产也就需要对其进行识别与管理。
数据资产的识别以及分类、分级是一个老生常谈的话题,十多年以前很多单位就已经开展了这方面的工作,定义数据类别、级别标准并进行数据梳理等。但由于数据量巨大、分类分级颗粒度不够、缺乏有效工具支撑等原因,很少有单位能够取得比较好的效果。对于非结构化数据,在进行类型与级别的定义后,需要给出尽量多的举例进行参考,使得数据的创建者能够进行必要的密级与传阅范围的标注。同时,良好的数据分类、分级标准,也可以输入给数据防泄露及文档加密产品,作为数据安全控制实施策略的依据。对于结构化数据,主流数据安全厂商均有数据发现产品,可以根据定义好的分类分级标准,采用主动网络扫描与授权账号读取的方式,自动化对数据进行识别。为敏感数据资产发现、分布展示,以及数据安全的监控、审计,提供良好的基础支撑作用。将账号权限定义成资产可能会让很多人费解,但它确实是安全上重要的保护对象。同时在账号权限管理最佳实践标准中,也会要求形成并维护账号权限清单,对账号权限进行必要的分类,并且需要定期进行清查。所有这些的管理措施,都与资产管理思路没有什么区别。
如果能够建成IAM或4A系统,会给账号权限管理带来大大的方便性。如果没有统一身份认证系统,由于设备、系统、应用等都涉及到账号权限,给统一账号权限管理带来了一定的困难性,只能选取VPN、堡垒机、域控及重要应用系统优先建立管理机制。
账号权限管理机制可以在SIEM(或UEBA)中完成,也可以在自身系统中实现。比较好的做法是应用集成在自身系统功能中,设备、操作系统等非应用账号管理集成到SIEM(或UEBA)中。账号权限管理机制包括建立账号权限清单、管理授权期限、监测账号行为异常活动等。
信息资产中还有一类叫无形资产,知识产权、数字品牌就属于无形资产。源代码、重要文档资料被上传互联网属于知识产权受损,钓鱼网站、假冒APP、品牌滥用则属于数字品牌受损。知识产权与数字品牌保护不善,不但影响企业自身的形象,还可能带来实质性的利益损失。
目前很多机构通过SaaS方式提供知识产权与数字品牌保护服务,对代码站点、知识社区、应用商店等进行持续在线监控,发现知识产权泄露与数字品牌侵权事件能够实时预警,提供风险预警数据与事件分析报告,并提供知识产权与数字品牌保护服务处置服务。
互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全事件响应与处置,这些日常安全运营与攻防对抗中的关键活动,都需要完善的资产信息的支撑。
网络安全领域流传很广的一句话“你无法保护你看不见的东西”,安全建设要以资产为出发点进行风险控制,发生了安全事故以后,安全处置措施又会回到资产。大量的事实说明资产不清晰已经成为阻碍当前网络安全建设的一道鸿沟。资产管理水平决定了网络安全防护的上限,如果资产搞不清楚,安全工作就会有一个很大的瓶颈无法突破。