長期以來，我們一直強(qiáng)調(diào)要做好網(wǎng)絡(luò)安全建設(shè)，而其中的第一步就是要做好對自身資產(chǎn)的發(fā)現(xiàn)和清點(diǎn)，正如大家經(jīng)常所說的那句話——“你無法保護(hù)你看不見的東西”。的確，如果不知道自己擁有什么資產(chǎn)，那么如何去了解與它們相關(guān)的風(fēng)險(xiǎn)狀況？還拿什么去談要做好風(fēng)險(xiǎn)管理呢？

　　在安全建設(shè)過程中，大家經(jīng)常會強(qiáng)調(diào)要防住某一類攻擊，通過置入大量安全設(shè)備的方式去進(jìn)行防護(hù)，并認(rèn)為這就夠了，但如果這是建立在我們不清楚自身資產(chǎn)的情況，那只能說這些投入中有很多可能都會是浪費(fèi)。因此，在我們看來，企業(yè)在進(jìn)行安全建設(shè)時的第一件事就是要回歸到一個最基本的問題上，那就是要通過提高對資產(chǎn)的可見性，這也是構(gòu)建良好風(fēng)險(xiǎn)管理能力的基礎(chǔ)。

　　以當(dāng)前企業(yè)用戶最為頭疼的勒索軟件攻擊為例，由于此類攻擊是以一種可集合各種攻擊方式的方法去入侵受害者的網(wǎng)絡(luò)，從而單純的某種防護(hù)方式很難對其進(jìn)行防御，迄今也沒有一個單一化的方式可以有效緩解此類威脅，考慮到它終歸還是要通過企業(yè)的某個資產(chǎn)引入到網(wǎng)絡(luò)環(huán)境之中，這意味著如可以在資產(chǎn)可見性方面做的比較到位，輔以其他安全設(shè)備的持續(xù)監(jiān)控，能夠在其入侵時予以告警，那么至少我們還是有機(jī)會去做好響應(yīng)工作，以降低甚至規(guī)避風(fēng)險(xiǎn)發(fā)生的可能。這里需要注意的是，這種可能性是建立在企業(yè)對自身所有資產(chǎn)了如指掌并進(jìn)行全面監(jiān)控的情況之下，兩者可謂缺一不可，如果缺少了前者，那么安全設(shè)備部署的再多也是徒然，對這一點(diǎn)不要抱有偶然心態(tài)，畢竟攻擊者從你看不見的地方發(fā)動入侵的概率仍然存在，更何況現(xiàn)實(shí)已經(jīng)無數(shù)次的證明，這沒什么不可能的。

　　此外，社會工程也是很多企業(yè)要面臨的重要問題之一，以金融行業(yè)為例，其中的大型公司員工數(shù)量動輒數(shù)千人，相信其中絕大多數(shù)人都會以一個相對簡單的操作方式連接到組織的網(wǎng)絡(luò)。這些人在攻擊者眼中，其實(shí)都是發(fā)起攻擊的跳板。此前，我國攻擊面管理領(lǐng)域企業(yè)——云科安信的CEO金飛在參與我們安全419《暢聊安全》節(jié)目時曾表示，現(xiàn)在的網(wǎng)絡(luò)攻擊之所以犀利，是在于它攻擊的目標(biāo)開始多元化，以往可能只會對數(shù)字資產(chǎn)進(jìn)行有針對性地攻擊，現(xiàn)在則還會將使用數(shù)字資產(chǎn)的人也同樣作為攻擊目標(biāo)，并且將其作為一個非常重要的切入點(diǎn)。在他看來，數(shù)字資產(chǎn)中出現(xiàn)漏洞、風(fēng)險(xiǎn)的頻率雖然不會比人更高，但人也許會成為放大劑、催化劑。

　　”假設(shè)有1條攻擊路徑被確認(rèn)，后面有1萬個人在使用這條攻擊路徑，那么對我們而言，它不是1條攻擊路徑，而是1萬條。“

　　需要指出的是，盡管這里強(qiáng)調(diào)的是人，但也是建立在是和資產(chǎn)相關(guān)聯(lián)的前提下，在資產(chǎn)未知的情況下，又談何將人與資產(chǎn)相關(guān)聯(lián)？如此一來安全定然難以得到全面保障。

　　事實(shí)上，在數(shù)字化進(jìn)程的推進(jìn)之下，絕大多數(shù)行業(yè)在擁抱數(shù)字化的同時也會面對新的風(fēng)險(xiǎn)，而在這之中所產(chǎn)生的數(shù)字資產(chǎn)如果不能得到充分的保護(hù)，那么對于企業(yè)的發(fā)展和安全都會帶來挑戰(zhàn)。尤其是關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，IT和OT通常都會是以同時運(yùn)行的方式存在，但和以往它們普遍在各自獨(dú)立的環(huán)境下運(yùn)行不同，當(dāng)前兩者的環(huán)境已在不斷融合，這就帶來了一個問題——攻擊面因此而大幅擴(kuò)張，也意味著OT系統(tǒng)面臨和IT相同的安全威脅，但相比之下更糟糕的是，傳統(tǒng)的OT系統(tǒng)在設(shè)計(jì)時對于這種安全威脅的考慮大多并不充分。

　　由此可見，在網(wǎng)絡(luò)安全領(lǐng)域，做到識別盡可能多甚至是所有資產(chǎn)，才能為整體網(wǎng)絡(luò)安全戰(zhàn)略提供有力支撐，由此我們也可以看出，資產(chǎn)的風(fēng)險(xiǎn)因素不僅是資產(chǎn)管理的組成部分，同時也是網(wǎng)絡(luò)安全的重要組成部分。

　　當(dāng)前，我國在資產(chǎn)發(fā)現(xiàn)及風(fēng)險(xiǎn)管理相關(guān)領(lǐng)域已經(jīng)有不少廠商推出了相關(guān)產(chǎn)品和解決方案，安全419在這里遴選出其中一些能力較強(qiáng)的成熟產(chǎn)品以供參考：

　　知道創(chuàng)宇：ZoomEye Pro 網(wǎng)絡(luò)空間資產(chǎn)安全管理系統(tǒng)

　　ZoomEye的名字在該領(lǐng)域可謂廣為人知，該系統(tǒng)采用主動探測的方式，對網(wǎng)絡(luò)空間資產(chǎn)進(jìn)行發(fā)現(xiàn)及詳細(xì)信息的分析收集，同時兼具被動探測功能及云端查詢功能。全面收集企業(yè)內(nèi)網(wǎng)和暴露在互聯(lián)網(wǎng)的資產(chǎn)，統(tǒng)一管理。同時，該系統(tǒng)還兼具網(wǎng)絡(luò)空間資產(chǎn)自動分類功能，將網(wǎng)絡(luò)空間資產(chǎn)進(jìn)行了12大類、142個二級分類標(biāo)準(zhǔn)劃分，并依據(jù)此標(biāo)準(zhǔn)對所需管理的資產(chǎn)，依據(jù)既定規(guī)則，進(jìn)行自動分類，此外，系統(tǒng)還支持基于各種維度的報(bào)告報(bào)表導(dǎo)出，為管理者管理決策提供數(shù)據(jù)支撐。

　　華順信安：FOEYE-網(wǎng)絡(luò)資產(chǎn)測繪及風(fēng)險(xiǎn)分析系統(tǒng)

　　該系統(tǒng)與同為華順信安推出的FOFA-網(wǎng)絡(luò)空間資產(chǎn)搜索引擎、FOASP-網(wǎng)絡(luò)空間測繪及風(fēng)險(xiǎn)治理平臺等多個產(chǎn)品構(gòu)成了針對資產(chǎn)風(fēng)險(xiǎn)的完整解決方案，據(jù)了解，該系統(tǒng)基于全生命周期的安全資產(chǎn)監(jiān)控，從披露資產(chǎn)開始，持續(xù)監(jiān)控資產(chǎn)變化，實(shí)時獲取資產(chǎn)情報(bào)，對資產(chǎn)掃描漏洞發(fā)現(xiàn)、分析、修復(fù)和審核過程進(jìn)行持續(xù)跟蹤，對企業(yè)資產(chǎn)數(shù)據(jù)進(jìn)行統(tǒng)一處理、分析，形成完善的信息資產(chǎn)管理體系，實(shí)現(xiàn)對資產(chǎn)情況的實(shí)時監(jiān)控和企業(yè)資產(chǎn)的高效管理。

　　盛邦安全：RaySpace 網(wǎng)絡(luò)空間資產(chǎn)探測系統(tǒng)

　　該系統(tǒng)是盛邦安全自主研發(fā)的一款集資產(chǎn)普查、風(fēng)險(xiǎn)探測、風(fēng)險(xiǎn)管理于一體的綜合資產(chǎn)探測與詳情展示系統(tǒng)，結(jié)合漏洞發(fā)現(xiàn)檢測技術(shù)和數(shù)據(jù)情報(bào)分析技術(shù)，可以實(shí)現(xiàn)對網(wǎng)絡(luò)空間的IPv4、IPv6及域名資產(chǎn)存活狀態(tài)的快速探測，具備針對全網(wǎng)各類資產(chǎn)的精準(zhǔn)發(fā)現(xiàn)、精準(zhǔn)識別、精準(zhǔn)威脅檢測能力。RaySpace以存活探測、指紋檢測、PoC檢測三大高性能檢測引擎為基礎(chǔ)，依托資產(chǎn)指紋庫、CVE漏洞庫、PoC規(guī)則庫等豐富的資源庫，實(shí)現(xiàn)對網(wǎng)絡(luò)空間資產(chǎn)的準(zhǔn)確識別、發(fā)現(xiàn)與安全檢測，從而掌握網(wǎng)絡(luò)空間資產(chǎn)安全風(fēng)險(xiǎn)態(tài)勢，提升資產(chǎn)安全治理水平。

　　此外，當(dāng)前火熱的攻擊面管理概念本身也對資產(chǎn)發(fā)現(xiàn)提出了更高的要求，如果資產(chǎn)發(fā)現(xiàn)能力弱，那么攻擊面管理所覆蓋的數(shù)字資產(chǎn)范圍或邊界就會有不足，還談和從攻擊者的視角去發(fā)現(xiàn)風(fēng)險(xiǎn)，事實(shí)上，攻擊面管理的能力是與資產(chǎn)的發(fā)現(xiàn)能力有著強(qiáng)相關(guān)，因此國內(nèi)一些攻擊面管理領(lǐng)域的優(yōu)秀產(chǎn)品、解決方案也同樣值得關(guān)注，這里我們也遴選出部分成熟產(chǎn)品以供參考：

　　華云安：Ai·Vul 靈洞·網(wǎng)絡(luò)資產(chǎn)攻擊面管理平臺

　　該平臺將企業(yè)網(wǎng)絡(luò)空間攻擊面管理過程中的攻擊者視角信息和防御者視角信息，通過安全分析引擎、數(shù)據(jù)分析引擎進(jìn)行統(tǒng)一整合，讓用戶先于攻擊者了解數(shù)字化攻擊手段和攻擊路徑，并采取針對性措施進(jìn)行響應(yīng)，幫助企業(yè)降低被攻擊的可能性，保障數(shù)字業(yè)務(wù)安全。在資產(chǎn)風(fēng)險(xiǎn)管理方面，靈洞能夠提供更為全面的資產(chǎn)分類，對比內(nèi)外視角分析資產(chǎn)安全情況，支持網(wǎng)格化管理模式，靈活進(jìn)行數(shù)字資產(chǎn)管理。目前靈洞可覆蓋的資產(chǎn)涵蓋主機(jī)資產(chǎn)、WEB資產(chǎn)、IoT資產(chǎn)、容器集群資產(chǎn)的4大類信息資產(chǎn)，以及對應(yīng)如API、數(shù)字暴露面等多種數(shù)字資產(chǎn)，并通過支持知識圖譜技術(shù)對無主資產(chǎn)、僵尸資產(chǎn)、影子資產(chǎn)等資產(chǎn)進(jìn)行標(biāo)記和可視化呈現(xiàn)。

　　云科安信：白澤攻擊面管理平臺

　　該平臺能夠完全自動化地幫助用戶發(fā)現(xiàn)和梳理資產(chǎn)暴露面的情況，將包括域名、IP地址、端口情況，web應(yīng)用、中間件、數(shù)據(jù)庫、組件、指紋等等這些跟目標(biāo)系統(tǒng)相關(guān)的信息詳細(xì)地展現(xiàn)在用戶眼中。在梳理完用戶全部暴露在外的資產(chǎn)和攻擊面后，白澤平臺還會從應(yīng)用的視角、關(guān)聯(lián)關(guān)系的視角、端口數(shù)據(jù)的視角將不同資產(chǎn)之間的關(guān)聯(lián)關(guān)系進(jìn)行展示，幫助用戶了解到未知的資產(chǎn)暴露情況。總體而言，該平臺可持續(xù)以攻擊者視角對其資產(chǎn)進(jìn)行持續(xù)發(fā)現(xiàn)、清點(diǎn)、分類、優(yōu)先級排序和監(jiān)控，幫助客戶時刻洞察網(wǎng)絡(luò)空間資產(chǎn)風(fēng)險(xiǎn)，主動掌控資產(chǎn)動態(tài)，及時提出收斂資產(chǎn)暴露面的數(shù)據(jù)支撐，驗(yàn)證暴露資產(chǎn)的漏洞可利用性，并形成關(guān)聯(lián)關(guān)系，從而幫助用戶構(gòu)建起一套實(shí)戰(zhàn)化、自動化、智能化的攻擊面管理平臺。

　　零零信安：0.zone攻擊面管理系統(tǒng)

　　作為專注于外部攻擊面管理的企業(yè)，零零信安的做法則是從外入手，0.zone攻擊面管理系統(tǒng)通過一系列內(nèi)置的數(shù)據(jù)探針，針對全球網(wǎng)絡(luò)，以及數(shù)千個威脅源進(jìn)行持續(xù)檢測，每天以數(shù)千萬IT資產(chǎn)數(shù)據(jù)和數(shù)百萬情報(bào)項(xiàng)目添加到數(shù)據(jù)池中，并通過專有算法，將其進(jìn)行關(guān)聯(lián)和整合，將數(shù)據(jù)池中數(shù)千萬的IT資產(chǎn)和數(shù)百萬情報(bào)項(xiàng)目，與組織架構(gòu)、子公司、關(guān)聯(lián)組織等進(jìn)行識別和映射，以保證全面和準(zhǔn)確地發(fā)現(xiàn)企業(yè)未知資產(chǎn)，實(shí)時跟蹤企業(yè)攻擊面動態(tài)變化，維護(hù)資產(chǎn)列表，輔助企業(yè)安全管理人員收斂攻擊面。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<