干货!资产管理这件小事(下)

 

一、建立资产变化感知机制

由于组织的业务是不断发展的,安全资产也在不断的变化,资产库的建立显然不是一劳永逸的事。如果想要保障资产库的持续有效性,就需要建立资产的变更机制,形成资产生命周期的管理闭环,保障资产库的有效更新,从生命周期管理角度,我们可以将整个资产分为三个阶段,上线、变更、下线,除了规范制度确保可控外,安全部门同样需要具有资产变化的感知能力,来感知资产的变化。

上线阶段:通过对开放资产的不断比较,发现新开放的资产,对比是否存在资产记录,发现违规上线的资产,同时通过资产识别技术判断资产的操作系统、开放协议、应用等是否符合上线资产的规定,并结合风险监测能力判断上线资产是否安全。

变更阶段:通过对已知资产的长期监控比对,判断资产上新开放的服务、应用、资产升级、或违规修改端口下业务情况,并对比是否存在变更记录,从而发现违规变更的资产,并记录资产的变化情况,确保资产的每一次变更都是合规、安全的变更。

下线阶段:资产是否已经下线可以从两个维度来进行判断,首先是资产的访问情况,即通过流量判断一段时间内容是否有人访问这个资产,如果长期无人访问,这个资产可能已经下线,但同样由于组织的业务情况不同,单纯的无人访问并不能真正认定资产已经下线。另外一种方式则是通过对资产的可用性进行判断,如果资产无法访问,则判断资产可能已经下线,但可用性判断往往会受到网络因素制约,存在一定误报的可能性。这两种判断手段同样各有优劣,可以通过相互结合、互相验证的方式来进行判断。

建立资产变化感知机制除了能够确保资产库的及时性和准确性外,也是为最后整体的资产管理体系建设建立基础,在安全资产管理上,技术手段和管理手段缺一不可。如果缺乏管理手段,大量的资产变化最终会导致资产库中的资产所有归属、业务归属过时。同样,如果缺乏技术手段,就难以对管理实施效果进行评估和考核,难以确保管理制度的有效性。

二、建立资产管理体系

资产的发现和资产的变化感知都是能够通过多种技术手段实现的,但安全风险控制往往需要物理手段、技术手段、管理手段相互结合才能达到最佳效果,所有的管理都无法依靠单一的技术手段解决问题,必须最终落地到人和管理制度上。资产管理体系的建设并没有一个唯一的答案,必须结合自身的实际条件如预算、人力等逐步推进,才能达到最佳效果,参考ISO等信息安全管理指南,结合笔者了解到的一些资产管理做得较好的组织的管理制度而言,资产管理体系建设有这么几个关键点:

1、和运维部门达成一致

从笔者服务过的组织而言,安全管理做得相对领先的大多是那些安全部门相对独立但又和运维体系紧密结合、统一规划的组织。运维部门是资产维护的第一窗口,自身也必然会建设资产管理能力,虽然和安全资产管理的侧重点不同,但在资产的分类和所有权归属一般会有一定的积累,能够为安全资产管理体系的建设带来极大的帮助。同时安全资产管理体系的建设也能够帮助运维部门查缺补漏,确保组织资产信息的准确性和完善性。对于组织来说,运维和安全部门共同推进资产管理是价值最大化的体现。安全部门固然能够独立建设资产管理体系,但缺少运维人员的参与,整个安全资产管理体系建设会更加难以推进。

2、建立资产安全上线流程

一个完善的资产安全上线流程包括了安全基线核查、安全风险检测、安全资产信息登记等内容。当安全在组织中话语权较弱时,以上线业务安全核查作为抓手是相对容易实现也较容易体现价值的关键因素。组织应通过管理手段和技术手段相结合的方式,保证所有上线的资产均在安全掌握中,符合安全的最低要求。管理手段可以是如要求上线资产均在相应平台上进行所有权等级,并经由安全人员进行风险监测等,技术手段可以是通过长期的资产监控,获取新增资产并和现有资产进行比对,发现新上线的资产等。但所有的手段并没有优劣,符合组织情况的流程就是最好的流程。

3、建立资产变更登记流程

安全环境的变更可能导致漏洞、客体丢失和疏忽,进而导致出现新的脆弱性问题。面对变更,维护安全的唯一途径就是系统性的变更管理。由于变更的发生比上线更为频繁,因此变更管理的实施难度相比较于上线流程更为困难。同时需要注意的是,如果组织的整体管理水平、信息化建设水平、人力并没有达到所需标准,一味的推进变更管理制度有可能会导致管理制度实施的困难,安全人员可以通过对资产的重要性、风险程度进行排序,对重要性高的资产优先实施变更登记,再逐步扩展到组织全部资产或暂缓扩展。

4、确保适当的历史记录留存

从监管要求来说,部分系统会有一定的数据留存要求,目前资产数据没有通用的历史记录保留要求,组织可以根据安全策略确定资产历史记录留存期,这是和组织的整体安全数据策略相关的,即组织需要确认他们可能会需要调查多长时间之前的事情,保留资产的历史归属、变化情况能够帮助安全人员在出现安全时间时快速追溯和定位。
 
其实安全资产管理体系的建设还有很多需要注意的点,处于不同发展阶段的组织的关注点也不同,所有管理方法或建议只能够作为组织的参考。比如对于高速发展阶段的互联网企业来说,如果采用太过严格的资产变更登记制度,可能会受到较大的执行阻力,这时候紧抓规范上线并配合全网普查的技术手段可能会更加合适。

结语

虽然市面上的资产管理产品很多,但是可以明确的一点是单独依靠技术手段的话,没有任何一家的产品能够真正的解决组织面临的安全资产管理问题。组织如果想要真正将安全资产管理起来,需要从自身情况出发,选择合适的安全资产管理产品或根据规划自行建设安全资产管理信息化系统,结合组织现有规章制度,建设真正的组织安全资产管理体系。但要始终记住的的是:组织的信息安全发展和组织的整体业务始终息息相关,业务的发展、监管要求、外部风险等都是会影响安全管理的因素,管理不是一成不变的,需要根据组织自身需求时刻调整,才能达到理想的效果。

 

2020年7月13日 10:52
首页    干货!资产管理这件小事(下)