“刚刚又出现一个Struts2安全漏洞,统计下哪些系统涉及到这个漏洞,赶紧进行修复。”然后下发通知、开会布置、人工统计…这是安全运营中最常见的一幕。“目前互联网暴露面资产到底有多少?开放了哪些服务?赶紧梳理下,能不开放的尽量关掉。”然后层层下发通知、开会布置、人工统计…这在攻防演练前也是最常见的一幕。互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全事件响应与处置,这些日常安全运营与攻防对抗中的关键活动,都需要完善的资产信息的支撑。所以今天我们来梳理一下资产管理在安全运营中的几个典型的应用场景。
场景一:清晰的资产管理为安全漏洞治理提供良好的信息输入
资产管理与漏洞治理有着天然密不可分的关系,不管是用人工的方法进行漏洞扫描,还是利用安全漏洞治理平台进行闭环管理,都必须由资产管理为其提供必要的信息输入,而资产信息也同样贯穿于包括漏洞发现、漏洞评估、漏洞修复的整个安全漏洞治理过程。资产管理平台中的全量资产信息为安全漏洞治理提供基础支撑,资产指纹方便安全漏洞情报能够被快速匹配定位,资产价值为安全漏洞处理优先级提供决策依据,资产所属业务与责任人则方便安全漏洞运营人员下发漏洞修复工单,并且方便安全漏洞修复效果验证。
场景二:动态的资产运营为互联网暴露面的风险管控提供便利
由于处于网络边界高风险区域,互联网暴露面资产无疑是安全攻防的焦点,因此,互联网暴露面风险控制是安全运营与防御的重中之重。想要做好互联网暴露面风险控制,一是尽量通过暴露面收敛降低风险,另外一个是通过对暴露面风险进行实时监控与动态防御。资产管理平台能够实时、动态展现互联网暴露面资产情况,不但摆脱了人工+线下方式管理滞后、效率低下的问题,还能够通过与其它平台联动实时监控暴露面安全风险。提高了互联网暴露面收敛及常态化管理效率,有效降低了互联网暴露面安全风险。
场景三:资产风险状态为零信任细粒度安全控制提供决策基础
所谓“零信任”是在风险可控的基础上进行细颗粒度的灵活信任,因此零信任技术应用必须建立在完善的资产管理与权限管理(账号权限也是资产)的基础上。如果资产与权限管理成熟度不够,即便是所应用的零信任技术再好,也会因为缺乏必要的基础而效果大打折扣,无法真正有效运营起来。资产的访问权限需求是随着业务变化而动态变化的,只有对资产与权限信息能够进行清晰、动态的管理,才能为零信任的“细颗粒度”提供管理基础。同样,资产与权限所面临的安全风险也是动态多变的,只有对资产与权限安全风险进行实时监测,才能为零信任的“灵活信任”提供决策基础。场景四:明确的资产属性为安全事件的应急处置提高闭环效率安全建设要以资产为出发点进行风险控制,发生了安全事件以后,安全应急响应以及处置措施又会回到资产。在安全事件发生时,如果能够在第一时间确定受影响的业务与资产范围,对提高安全事件的分析研判的速度,以及采取应急处置的有效性至关重要。通过资产管理平台中详细的资产属性信息,可以直接定位受安全事件影响的业务范围,快速确定相关业务管理人员及系统运维人员,这样才能够及时协调相关人员与安全人员一起,根据系统日志等信息进行安全事件排查研判,并及时采取相应的应急处置措施。总结:资产管理水平决定了网络安全防护能力的上限,如果作为保护对象的资产都搞不清楚,安全工作就会有一个很大的瓶颈无法突破。网络安全领域流传很广的一句话叫“你无法保护你看不见的东西”,大量的事实说明资产不清晰已经成为阻碍当前网络安全建设的一道鸿沟。