2023年03月06日
前言
網絡安全建設的實質是對風險的管理,古人云:知己知彼百戰不殆。所謂知己,就是要了解自己的資產以及這些資產的脆弱性,知彼就是了解外部威脅及威脅所使用的手段。
要做到知己,首先就要對自身的資產進行梳理。今天,我們就來聊一聊資產梳理的話題。
1、為什么要做資產梳理?(WHY)
一、安全體系建設的需要。
網絡安全(數據安全)建設的實質是對風險的管理,風險管理的三個要素是資產、威脅和脆弱性。這三項的基礎是資產管理。
隨著客戶業務的逐漸增多,面向互聯網的系統暴露的信息也就越多,如端口、后臺管理系統、與外單位互聯的網絡路徑等信息,而這這些信息就越容易被攻擊者盯上。
很多單位在進行安全體系建設時,往往對重要業務系統進行較好的防護,對于一些邊緣業務甚至廢棄業務沒有做好及時處理,而這些往往成為攻擊者攻擊的對象。
通過對大多數被攻擊事件的分析,大多數攻擊都是因為客戶對自身資產不清晰所致,所以需要對單位機構資產進行梳理,通過資產梳理,可以確定主機漏洞、弱口令掃描、web應用漏洞、基線配置的目標,排查無備案、無管理、無防護的信息資產,收集信息資產開發端口服務,作為關閉非必要端口和加強端口訪問策略提供依據,整理重點資產,作為有限防護資源分配的參考。
資產梳理是進行安全運維與風險評估的基礎,也是進行安全體系建設的依據。如果家底不清、資產不明,很容易會被黑客利用和攻擊。
二、合規性的需要。
在《數據安全法》和等保中,也都有明確的規定。
如等保三級管理部分(7.1.10.2)明確規定:應編制并保存與保護對象相關的資產清單,包括資產責任部門、重要程度和所處位置等內容。
《數據安全法》第二十一條中也要求,“各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。”
在數據安全時代,對數據進行分類分級的前提就是要先進行資產梳理。
2、梳理什么?(WHAT)
知己知彼百戰不殆。所謂知己,就是要了解自己的資產以及這些資產的脆弱性,知彼就是了解外部威脅及威脅所使用的手段。知己的前提就是要對資產進行梳理,了解你要保護的對象,以及對象自身存在的安全漏洞,才能有針對性的做好預防措施。攻擊者所想要利用的信息,單位機構內部一定要自己知道,這樣才能做好及時加固防護,因此根據攻擊者現主流攻擊的目標及目標相關信息確定梳理的內容有如下:
1、根據需要可選擇不同角度對資產進行資產分類和分級,摸清楚哪些是重要資產。
2、收集明確歸口的信息系統資產信息:(數據庫,中間件、群件系統、各商業軟件平臺、后臺地址、使用框架、敏感目錄等)。
3、 統一排查發現未確定歸口部門的資產與廢棄資產,確定其歸口管理部門。
4、 梳理資產對應的開放端口、服務,并明確其用途。
5、梳理業務數據流向,理清楚業務之間的邏輯關系和數據流轉時與其他資產(硬件、軟件、網絡等)之間的關聯性。
6、 梳理易受攻擊應用系統目標(重點資產)。
7、 梳理存儲敏感數據(用戶數據、源代碼數據)的資產。
8、 梳理現在安全防護資源。
3、怎么做梳理?(HOW)
資產梳理總體流程:
1、人工確認資產列表或通過資產管理工具導出資產信息。
2、資產信息核對,補充和更新如端口、服務、補丁版本、更新時間、責任人、重要性等,對未知資產確認歸口,完善全部信息。
3、對未知資產進行歸口,更新和確認歸口,輸出最新資產列表。
4、對廢棄資產進行排查,消除安全隱患。
4、輸出物
資產列表是資產梳理的最終輸出,為后續漏洞掃描、基線配置等提供基礎信息。資產包括機房設備、網絡設備、應用服務器、安全設備、虛擬化平臺、中間件、業務系統、數據資產等,根據不同的視角,可以建立不同角度的資產表。
示例:(包括但不限于以下內容)
硬件資產信息:設備名稱、廠家(維保廠家)、IP地址、MAC地址、物理商品信息、拓撲結構、硬件版本號、安全策略、特征庫升級記錄、巡檢記錄、維修記錄、機房位置、責任人、承載業務、重要性賦值(CIA)等。
軟件資產信息:業務系統名稱、開發單位名稱、安全定級信息、操作系統類型及版本、數據庫類型及類型、網絡安全管理員、數據安全管理員、賬號及權限信息、業務關聯性、重要性賦值(CIA)、使用端口信息等。
數據資產信息:數據收集來源、存儲位置、數據類別、公開范圍、賬號及權限信息、數據使用者角色、是否個人信息、是否重要數據或涉密數據、重要性賦值(CIA)等。
5、總結
通過資產梳理,摸清單位機構自己的資產家底,了解自身基本情況,初步識別存在的風險,減少單位機構網絡被攻擊面,為后續進一步自查提供基本支撐。
在梳理過程中,要確保梳理無遺漏,處理好無歸口資產和廢棄資產,標記重點防護資產,為后續防護決策等提供基礎信息。
來源:大兵說安全