干货!资产管理这件“小”事(上)

 

一、什么是安全资产管理

 
安全资产管理和传统意义上的资产管理不同,传统意义上的资产管理更关注于我有多少台设备等内容,但随着互联网时代线上业务不断扩张,安全资产管理逐渐从传统资产管理转移到“数字资产,从安全管理的角度来说,凡是对组织有一定价值的,可能会被黑客利用的都属于安全资产范畴。从传统IT资产如IP地址、web应用,到移动资产如APP、公众号甚至一些新兴资产如文档、账号等等,都是安全的资产管理需要关注的资产范围。
 
由于各组织的业务情况、管理能力、运维水平都不尽相同,组织的资产管理或多或少也会存在区别,但大体上我们可以将资安全资产管理分为三步。
 
Step 1. 建立基础资产库

Step 2. 建立资产变化感知机制

Step 3. 建设安全资产管理体系

二、建立基础资产库

基础资产库是安全资产管理的基石。基础资产库发现的越全越准,就越能够减轻后续资产管理工作的负担。从组织资产管理的维度来看,我们可以将资产分为这样几部分:

 

(一)自有机房中的IT资产

 
这是安全资产管理中最容易获取或管控的资产,所有资产的记录和收集都较为便捷。自有机房的资产收集手段主要有四种,这四种手段各有优劣,需要根据自身实际情况进行选择:
 
1、 主动获取:根据已知的IP地址规划,通过主动探测的方式获取当前开放访问的IP、端口以及相关的协议指纹信息。主动获取部署成本低、能较为全面的获取资产开放情况等,但也存在明显的劣势,主要集中在受到已知IP范围的影响可能存在漏疏、结果受到网络环境和安全策略影响、以及会对业务存在一定性能压力上。
 
2、流量识别:通过分析自有机房中的流量获取到活跃的资产信息。被动流量识别的优势在能发现在已知资产范围外的资产、不受到网络因素以及安全策略影响;同时流量识别也存在劣势即会受到使用情况影响,无人访问的资产就无法进行识别,同时无法确认资产是否已经下线。
 
3、Agent获取:通过安装agent获取主机信息。Agent的优势在于能够获取的数据是最全面且准确的,同时劣势也很明显即只有安装过的主机才能获取信息。
 
4、对接获取:组织现有很多设备上都存在资产数据,如防火墙、CMDB、负载均衡、终端管理、虚拟机管理平台等,除了资产信息外往往还存在一定的业务属性,但这些数据的准确程度也会受到组织管理水平的影响,且对接会存在较大的工作量。
 
对于自有机房资产,使用单一的资产发现手段,不能全面获取资产。结合组织自身实际情况和资产全面性要求程度考虑实施多种实施手段互相补充是较为合适的方式。
 

(二)云(共有/私有)上IT资产

 
目前比较常见的云平台如均有标准化对外API接口能够获取资产信息·,通过API获取资产数据是云平台资产获取最快0的手段。此外,云端资产也能够适用于自有机房资产收集手段,可以统一化管理。
 

(三)互联网开放IT资产

 
由于IPv4地址池的数量问题,互联网资产会存在IP复用的情况,因此互联网资产的管理维度需要到达端口级别,相同IP上不同端口归属不同业务是较为常见的情况。
 
互联网开放资产的收集手段和内网资产略有不同,互联网资产数据可以通过以下几种手段进行收集:情报收集、主动探测、流量分析以及对接获取,其余三种手段的叙述见自有机房资产获取部分,这里主要讨论一下情报获取方式:
 
1、域名解析情报:最常见的互联网资产收集手段,通过DNS服务器或字典式解析探测以获取开放的子域名和解析情况,域名解析情报质量参差不齐,其更新频率和全面性应是考察的重点。此外,历史的域名解析数据也是具有一定价值的,但历史解析数据也会带来一些人工甄别的麻烦,网络安全法颁布后,通过历史解析发现数据需谨慎扫描,避免法律问题。
 
2、备案情报:备案数据中包含了组织会使用到的域名或IP,一般和域名解析结合使用,能更加全面的发现主域名和解析情况。
 
3、Whois数据:Whois数据通过域名的归属关联,查询和相关的其他域名,以便进一步发现资产,同样是和域名解析情报配合使用。
 
4、ASN数据:ASN信息中可能会明确表示出IP地址的具体归属,通过ASN数据,同样能够发现部分组织的资产信息。
 
5、浏览器情报:浏览器厂商在用于许可的情况下收集并记录用户具体访问的URL所获取到的资产信息,在已知用户IP地址或域名的情况下,通过浏览器情报可以发现具体解析的域名以及域名对应的目录信息。
 
6、空间测绘情报:通过空间测绘手段获取到的资产信息,这里的空间测绘平台可以是自建平台,也可以是如Shodan等空间测绘厂商处的数据,但直接通过名称搜索的空间测绘数据存在一定误报,需要经由加工后使用。
 
7、搜索引擎情报:通过搜索引擎检索获取到的网站类资产信息,包含google、百度等检索结果,搜索引擎数据同样会存在大量误报,需要经由加工后使用。
 
8、移动应用、小程序、公众号情报:通过已知APP或小程序的拆解,获取其中访问的URL信息,这部分URL中往往含有和内部通讯的API地址,但同样也存在大量和第三方API地址.。
 
市面上常见的情报获取方式主要以域名解析+备案+whois数据为主,但对真正希望将资产全面管理起来的组织而言,多种情报收集手段才是更佳的选择。同时,互联网资产获取后需要和内网资产建立关联,以便追溯。内外网关联可以通过防火墙等设备的对接进行获取,也可以通过上线登记手段获取。
 

(四)分支机构IT资产

 
分支机构资产是最令组织头疼的部分,这部分资产可能不在管辖范围内,但出了安全问题又会收到通报,分支机构私搭乱建的情况屡见不鲜。不同组织对分支机构的管辖力度又不尽相同,很难说有特定的手段对分支机构资产进行管理,如果想要获取分支机构资产,就需要以两手都要抓、两手都要硬的方式进行管理。
 
首先需要尽可能全面的发现分支机构资产,常规资产发现手段能够发现部分分支机构资产,但对于那些搭建在海外的或根本没有使用相关域名的资产却较难进行发现,通过搜索引擎、空间测绘、小程序公众号等手段能够获取到可能和分支机构相关的资产。此外也可以通过组织机构情报,获取组织所有分支机构信息后将分支机构作为独立主体去进行资产发现。对于那些有独立机房的分支机构,还可以用常规手段收集资产并统一管理。
 
此外是建立分支机构报备体系,要求分支机构向总部定期报备资产,并结合发现分支机构资产能力考核各分支机构资产报送情况,确保打通分支机构到总部的报备体系。
 

(五)移动资产

 
移动资产包含APP、公众号、小程序等由移动端兴起的资产。目前已经有较为成熟的移动应用管理审计平台能够对APP资产进行版本管理和漏洞检测,但不同的市场上存在不同版本的APP资产,甚至分支机构也可能发布了自有的APP。此外,由于APP和小程序中含有大量和内部通信的URL地址,这部分地址能够进一步运用到资产管理中,因此对于移动资产的梳理也是必要的。
 

(六)非受控(泄露)资产

 
这部分资产指对于组织有一定价值,容易被攻击者所利用但组织难以管控的资产,包含代码泄露、文档泄露、账户信息泄露等,这部分数据需要有对应的情报数据来进行获取,也可以通过利用开源工具自建平台的方式进行获取。
 
1、代码泄露:由于研发(外包)管理不当,导致开发人员将代码上传至github等代码共享网站上,这些代码中往往涉及到公司知识产权,甚至会泄露公司内部系统地址和用户名密码,需要通过关键词的设置来匹配代码共享网站上的公开项目,数据的准确程度和关键词设置的结果有较大的关系,这种关键词匹配的方式经常会带来很多误报,数据获取后的数据清洗会成为主要难点。
 
2、文档泄露:由于文档管理不善,导致员工将涉密文档上传至网盘,这部分文档中可能存在员工信息、项目信息等涉内容,容易被攻击者利用进行社工或其他手段,同样需要通过关键词进行文档检索,需要数据清洗能力才能够使得数据可用。
 
3、暗网数据泄露:组织的用户、通讯录等在暗网上进行贩卖导致的泄露,同样可能会被攻击者利用进行社工或薅羊毛行为,需要通过长期对暗网论坛进行监控,获取这部分泄露数据,但由于暗网是匿名交易且涉及到黑灰产,需要谨慎处置。
 

发现资产只是整个资产管理中的第一环节,但也是资产管理的基础和关键部分,资产发现的全面和准确程度影响了后续资产管理的效果。但同时也需要注意,单一的IP地址网站地址并不是一个完善的基础资产库,需要尽可能的在建立资产库的同时获取资产的关联、业务归属、责任归属等相关信息,才能够更便捷的进行后续资产管理工作。

 

2020年7月6日 12:56
首页    干货!资产管理这件“小”事(上)