一、前言
每一個做安全資產(chǎn)管理的同學們,都一個終極夢想,那就是掌握所有信息資產(chǎn)。為什么要掌握所有的安全資產(chǎn)呢,因為做防守的同學們有一個邏輯,掌握全量資產(chǎn)才有可能掌握資產(chǎn)上的風險和隱患。為什么說是夢想呢?每一代想挑戰(zhàn)安全資產(chǎn)管理的人也不少,關(guān)于安全資產(chǎn)管理的實踐也多如牛毛,但至今未見圈內(nèi)有最佳實踐。可見做好安全資產(chǎn)管理的難度不是一般的大。此前有些實踐基礎(chǔ),文章定名進階實踐。
二、為什么要做
第一、解決安全度量中的覆蓋率計算問題。
覆蓋率計算時,需要全量的資產(chǎn)作為分母。比如,終端上的網(wǎng)絡準入、防病毒、EDR等。服務器上的防病毒、HIDS等。統(tǒng)計安全度量數(shù)據(jù)時,資產(chǎn)是分母。沒有全量資產(chǎn),統(tǒng)計出的度量數(shù)據(jù),沒有公信力。
第二、解決漏洞情報響應中的資產(chǎn)定位和影響分析問題。
前兩年曾設(shè)想過,漏洞情報出現(xiàn)時,如果能直接關(guān)聯(lián)資產(chǎn)數(shù)據(jù),可直接確定受影響范圍,再配合SOAR直接分發(fā)工單。受漏洞利用條件、資產(chǎn)數(shù)據(jù)不完整的影響,一直不曾實現(xiàn)。
在響應過程中,還被質(zhì)問「我的Java版本不受影響,為啥發(fā)工單給我?」。問題是收到漏洞情報響應時,需要有軟件、中間件、JAR包的版本號判斷影響范圍。需要有啟動用戶、關(guān)聯(lián)軟件版本、配置文件、插件版本等資產(chǎn)判斷是否可利用。需要互聯(lián)網(wǎng)開放情況判斷處置優(yōu)先級。天知道你是啥配置啊?
第三、解決告警處置中的人員、資產(chǎn)定位問題,為分析提供支撐。
出現(xiàn)入侵告警時,需要有資產(chǎn)負責人的姓名、電話、IAM賬號、人員經(jīng)理信息,溝通確認是否為攻擊行為,排查是否為誤報(有可能是員工操作)。若非員工操作,確認為攻擊者行為,排查被攻擊的漏洞是否存在(有可能是掃描器),需要有軟件、中間件、框架、組件、JAR包等資產(chǎn)信息支撐。
第四、解決事件響應中的漏洞定位問題,為分析提供支撐。
如有攻擊成功,進入響應階段。需要排查進程、端口、啟動項、文件Hash、文件簽名、系統(tǒng)日志等信息,確認是否被安裝后門。分析攻擊者是否橫向移動時,需要排查周邊設(shè)備的漏洞情況、安全防護情況,分析可能的影響范圍。
第五、解決運營過程中資產(chǎn)無法自動化查詢的問題。
較多的安全系統(tǒng)都會有資產(chǎn)查詢需求,無資產(chǎn)API查詢時,只能通過手工查詢定位系統(tǒng)的負責人信息。比如,自動化運營場景中,每個流程都有多個步驟,每個步驟有多個查詢,任意一個資產(chǎn)信息查詢無對應API時,均會導致流程自動化斷層,自動化運營系統(tǒng)的價值會大打折扣。
第六、安全運營未來發(fā)展和進化支撐。
安全運營的發(fā)展和進化,和打游戲時的科技樹一樣,沒有基礎(chǔ)能力時,很多高階能力是無法真正實現(xiàn)的。比如,近期的零信任,前期的態(tài)勢感知,由于沒有強有力的基礎(chǔ)能力支撐,被玩成了圈內(nèi)的笑話。小到安全能力有效性、安全設(shè)備巡檢,大到實現(xiàn)零信任、安全大腦、智能決策、UEBA等,均會受到影響。
三、解決方案思考
事物發(fā)展循環(huán):從無到有,從有到多,從多到合。安全資產(chǎn)管理階段:
階段一,從無到有,各團隊詢問更新,自維護本地表格時代。2017
階段二,表格量大無法維護,升級為簡單查詢的在線系統(tǒng)。2018
階段三,系統(tǒng)數(shù)據(jù)源不夠,增加自主發(fā)現(xiàn)(掃描和監(jiān)測)。2019
階段四,系統(tǒng)+自主發(fā)現(xiàn)仍無法覆蓋全量資產(chǎn)提出SCMDB。2020
階段五,大數(shù)據(jù)平臺式解決思路,安全資產(chǎn)管理中心。2021
階段六,安全資產(chǎn)管理關(guān)聯(lián)漏洞、隱患等的攻擊面管理(ASM)。2022
階段七,設(shè)備、用戶、系統(tǒng)畫像+攻擊者畫像,全景聯(lián)動分析。2023
在2019年左右,我們處在階段四,向階段五進發(fā),沒有理論上可行的思路。有個朋友興奮的向我介紹 2019年RASC創(chuàng)新沙盒冠軍 Axonius ,同時表示打通各系統(tǒng)是個非常難搞定的事,最終放棄了。2020年,我們完成SOAR上對接各種系統(tǒng)和設(shè)備,開始與國內(nèi)多家創(chuàng)業(yè)公司接觸,期望能共同研發(fā)類似的產(chǎn)品,解決資產(chǎn)管理的大痛點。
2021年與多家企業(yè)溝通后,在應用場景、產(chǎn)品定位、設(shè)計理念、核心能力、同步方式、數(shù)據(jù)結(jié)構(gòu)等方面達成一致。直到2022年產(chǎn)品才得以落地,經(jīng)過運營人員實際應用,又對產(chǎn)品進行打磨優(yōu)化。
四、最終實現(xiàn)效果
第一、安全度量支撐,實現(xiàn)終端和服務器覆蓋率每日自動統(tǒng)計。
將終端準入、終端防病毒、終端DLP、網(wǎng)絡掃描器等數(shù)據(jù)合并去重,作為分母。各系統(tǒng)自身數(shù)據(jù)作為分子,自動化計算和安全系統(tǒng)的覆蓋率。將HIDS、服務器防病毒、網(wǎng)絡掃描器、CMDB、運維自動化、運維監(jiān)控、系統(tǒng)平臺等數(shù)據(jù)合并去重,作為分母。各系統(tǒng)自身數(shù)據(jù)作為分子,自動化計算覆蓋率。已實現(xiàn)的安全系統(tǒng)見下圖。
第二、情報響應支撐,一鍵查詢漏洞情報的影響范圍。
通過一條查詢語句,實現(xiàn)是否開放公網(wǎng)、操作系統(tǒng)版本、軟件版本、關(guān)聯(lián)軟件版本、啟動用戶等多條件查詢,直接定位實際受影響的資產(chǎn),再通過SOAR自動化完成工單創(chuàng)建。再也怕別人反問「我的JAVA版本不受影響,為啥發(fā)給我?」查詢實現(xiàn)截圖如下。
第三、告警處置支撐,自動富化工單一眼可知關(guān)鍵信息。
通過SOAR聯(lián)動查詢安全資產(chǎn)管理系統(tǒng),自動補充系統(tǒng)負責人、聯(lián)系方式信息,并自動創(chuàng)建告警工單,將判斷告警真?zhèn)涡枰男畔⒏换焦沃小W詣踊瘜颖旧蟼髦辽诚洌@取沙箱檢測報告到工單中。實現(xiàn)截圖如下。
第四、事件響應支撐,一屏掌握資產(chǎn)和漏洞優(yōu)化級。
通過資產(chǎn)管理系統(tǒng),一站式查詢問題資產(chǎn)的聚合信息,使用VPT功能分析快速定位入侵點。同時可一站式查詢周邊設(shè)備漏洞情況、防護情況,為下一步工作做好準備。實現(xiàn)截圖如下。
第五、自動化運營支撐,未來一定是自動化、智能化的。
安全資產(chǎn)管理系統(tǒng)提供全量API接口,配合SOAR,實現(xiàn)告警處置、安全巡檢的全流程自動化。解決流程因資產(chǎn)問題無法自動化的問題。節(jié)省人力的同時,讓自動化的想象空間可以更大。此處無圖。
五、未來可期之展望
第一、安全資產(chǎn)管理與BAS。進入安全運營階段后,安全能力有效性會成為一個焦點。在實踐的過程中,掌握資產(chǎn)的漏洞后,可與BAS聯(lián)動進行測試,實現(xiàn)風險管理的閉環(huán)。
第二、安全資產(chǎn)管理與零信任或安全大腦。隨著安全運營成熟度的不斷提高,最后實現(xiàn)的一定是動態(tài)自適應安全,類似零信任的持續(xù)認證,動態(tài)調(diào)整策略。而零信任市場上,直到目前都沒有出現(xiàn)一個像樣的總控中心。可以類人思考,基于攻擊者、應用、主機的畫像,實現(xiàn)動態(tài)的策略調(diào)整。
更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<
