方案背景

網(wǎng)絡(luò)資產(chǎn)的范疇很廣，從門戶網(wǎng)站、信息系統(tǒng)到中間件、操作系統(tǒng)，再到各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備和IoT設(shè)備等等，凡是網(wǎng)絡(luò)當(dāng)中活動(dòng)的或者可以被訪問(wèn)到的目標(biāo)，都可以歸類為網(wǎng)絡(luò)資產(chǎn)，而資產(chǎn)安全也成為決定整個(gè)網(wǎng)絡(luò)安全建設(shè)是否達(dá)標(biāo)的關(guān)鍵因素。近年來(lái)，隨著網(wǎng)絡(luò)空間對(duì)抗強(qiáng)度的增加、網(wǎng)絡(luò)攻防演練的常態(tài)化開展，由于資產(chǎn)底數(shù)不清、遺留安全風(fēng)險(xiǎn)、漏洞修復(fù)不及時(shí)等各種問(wèn)題導(dǎo)致的失陷事件也越發(fā)引起大家的重視。由于網(wǎng)絡(luò)資產(chǎn)安全性不足而帶來(lái)的隱患有很多，一方面，網(wǎng)絡(luò)當(dāng)中接入資產(chǎn)的類型和數(shù)量在不斷增加，虛擬化和私有云等建設(shè)形式也在不斷運(yùn)用，網(wǎng)絡(luò)邊界逐漸模糊，傳統(tǒng)的安全建設(shè)思路面臨巨大挑戰(zhàn)，容易遺漏未知資產(chǎn)，產(chǎn)生安全死角；另一方面，從攻擊者的視角而言，通過(guò)入侵VPN、域控、統(tǒng)一管理平臺(tái)等集權(quán)系統(tǒng)所帶來(lái)的收益要遠(yuǎn)高于直接攻擊目標(biāo)主機(jī)，而這類系統(tǒng)通常不在傳統(tǒng)的資產(chǎn)保護(hù)區(qū)域內(nèi)，容易被繞過(guò)后輕易進(jìn)入內(nèi)網(wǎng)；最后，業(yè)務(wù)快速迭代的需求和安全穩(wěn)定的要求容易產(chǎn)生矛盾，在實(shí)際的安全建設(shè)當(dāng)中必須要找到二者之間的平衡點(diǎn)，才能將資產(chǎn)的安全和管理有效結(jié)合起來(lái)。接下來(lái)我們就從問(wèn)題和政策兩個(gè)角度來(lái)進(jìn)行詳細(xì)分析。

問(wèn)題背景

安全往往要靠問(wèn)題來(lái)驅(qū)動(dòng)，從攻擊者的視角而言，網(wǎng)絡(luò)資產(chǎn)面臨的主要安全問(wèn)題可以概括為暴露面風(fēng)險(xiǎn)、供應(yīng)鏈風(fēng)險(xiǎn)和管理風(fēng)險(xiǎn)幾個(gè)維度。

◆ 暴露面風(fēng)險(xiǎn)

攻擊者在針對(duì)特定系統(tǒng)進(jìn)行攻擊之前，往往會(huì)對(duì)目標(biāo)進(jìn)行深入研究，重點(diǎn)找到安全漏洞、弱口令賬號(hào)等暴露在外的安全風(fēng)險(xiǎn)，隨后再制定針對(duì)性的攻擊策略來(lái)精確定位那些被忽視的暴露面風(fēng)險(xiǎn)，從而完成對(duì)企業(yè)目標(biāo)業(yè)務(wù)系統(tǒng)的攻擊。此類暴露在攻擊者視線范圍內(nèi)，可以被入侵利用的系統(tǒng)、設(shè)備、信息等，都屬于暴露面，以往的暴露面主要是對(duì)外發(fā)布的網(wǎng)站或其他信息系統(tǒng)等Web資產(chǎn)，隨著越來(lái)越多的設(shè)備開放ssh、web、telnet等多種管理服務(wù)，網(wǎng)絡(luò)設(shè)備、安全設(shè)備甚至一些智能終端的管理端口開始大量暴露在網(wǎng)絡(luò)當(dāng)中，2020年初，黑客在一個(gè)流行的黑客論壇上發(fā)布了一份涵蓋515, 000 多臺(tái)服務(wù)器、家庭路由器和物聯(lián)網(wǎng)智能設(shè)備的遠(yuǎn)程登錄的Telnet憑據(jù)列表，一度引起大家恐慌。雖然大多數(shù)用戶都會(huì)認(rèn)識(shí)到暴露面的風(fēng)險(xiǎn)所在，并想方設(shè)法來(lái)減少暴露面，但并非所有暴露面都是顯而易見的，并且很可能因?yàn)槿藛T操作失誤或配置松散等問(wèn)題造成潛在的風(fēng)險(xiǎn)。常見的問(wèn)題一般有如下幾種：

（1）防火墻安全策略過(guò)于寬泛，內(nèi)部生產(chǎn)系統(tǒng)被違規(guī)映射在外網(wǎng)；

（2）對(duì)外發(fā)布網(wǎng)站的安全檢查不及時(shí)、不徹底，導(dǎo)致資產(chǎn)遺留安全漏洞，帶病運(yùn)行；

（3）安全管理要求過(guò)于松散，在線系統(tǒng)用戶使用弱口令或重復(fù)口令進(jìn)行登錄，同時(shí)系統(tǒng)缺少多因子認(rèn)證等安全機(jī)制；

（4）內(nèi)網(wǎng)系統(tǒng)端口管控不嚴(yán)格，開放大量非必要的高風(fēng)險(xiǎn)端口，如文件共享端口、遠(yuǎn)程控制端口等；

（5）內(nèi)網(wǎng)安全域間隔離不徹底，內(nèi)網(wǎng)區(qū)域甚至生產(chǎn)網(wǎng)區(qū)域資產(chǎn)可以被內(nèi)部其他區(qū)域用戶任意訪問(wèn)。

◆ 供應(yīng)鏈風(fēng)險(xiǎn)

供應(yīng)鏈攻擊是近年來(lái)提到較多的攻擊形式之一，攻擊者通過(guò)攻陷一套通用軟件或網(wǎng)絡(luò)設(shè)備的方式來(lái)達(dá)到對(duì)其使用者進(jìn)行大范圍攻擊的目的。在安全保障當(dāng)中，需要關(guān)注的保護(hù)資產(chǎn)除了各類在運(yùn)的信息系統(tǒng)之外，容易被忽略的往往還有較為流行的開發(fā)框架、外包服務(wù)商負(fù)責(zé)的測(cè)試系統(tǒng)，甚至是安全廠商供應(yīng)的設(shè)備類產(chǎn)品，這類資產(chǎn)通常不會(huì)放在DMZ等區(qū)域，因此也會(huì)缺乏防火墻、入侵防御或者WAF等專用產(chǎn)品的防護(hù)。攻擊者通過(guò)發(fā)掘供應(yīng)鏈資產(chǎn)的缺陷，利用流行框架或安全產(chǎn)品自身的漏洞來(lái)發(fā)起攻擊，則可以輕易繞過(guò)邊界防護(hù)，直接攻陷目標(biāo)系統(tǒng)。常見的供應(yīng)鏈風(fēng)險(xiǎn)有如下幾種：

（1）針對(duì)Struts2、Shiro、WebLogic等框架和中間件的攻擊；

（2）針對(duì)VPN、防火墻等安全網(wǎng)關(guān)類設(shè)備的攻擊；

（3）針對(duì)域控、堡壘機(jī)、虛擬化管理平臺(tái)等集權(quán)系統(tǒng)的攻擊。

◆ 管理風(fēng)險(xiǎn)

很多安全問(wèn)題本質(zhì)上都是管理的缺陷，業(yè)務(wù)部門與管理部門的脫節(jié)、管理制度與控制手段的缺失，都容易造成網(wǎng)絡(luò)資產(chǎn)的安全風(fēng)險(xiǎn)，常見的管理風(fēng)險(xiǎn)有如下幾種：

（1）業(yè)務(wù)部門私自搭建服務(wù)網(wǎng)站，違規(guī)發(fā)布在互聯(lián)網(wǎng)當(dāng)中；

（2）研發(fā)部門為了方便調(diào)試等操作，違規(guī)將測(cè)試系統(tǒng)對(duì)外發(fā)布；

（3）活動(dòng)期間臨時(shí)上線的系統(tǒng)，在結(jié)束后未及時(shí)退運(yùn)并且無(wú)人看管；

（4）對(duì)熱點(diǎn)安全事件跟蹤不及時(shí)，漏洞未及時(shí)修補(bǔ)，導(dǎo)致資產(chǎn)帶病運(yùn)行。

政策背景

隨著網(wǎng)絡(luò)資產(chǎn)安全問(wèn)題不斷爆發(fā)，國(guó)家監(jiān)管部門高度重視，近年來(lái)也相繼在各項(xiàng)法規(guī)政策中做了相關(guān)的指導(dǎo)和要求。

◆ 網(wǎng)絡(luò)安全法相關(guān)要求

第二十一條

國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。

第二十五條

網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)；在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告。

第三十一條

國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。國(guó)家鼓勵(lì)關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運(yùn)營(yíng)者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系。

◆ 等保2.0基本要求

資產(chǎn)管理

√ 應(yīng)編制并保存與保護(hù)對(duì)象相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容；

√ 應(yīng)根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施；

√ 應(yīng)對(duì)信息分類與標(biāo)識(shí)方法作出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理。

漏洞和風(fēng)險(xiǎn)管理

√ 應(yīng)采取必要的措施識(shí)別安全漏洞和隱患，對(duì)發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)或評(píng)估可能的影響后進(jìn)行修補(bǔ)；

√ 應(yīng)定期開展安全測(cè)評(píng)，形成安全測(cè)評(píng)報(bào)告，采取措施應(yīng)對(duì)發(fā)現(xiàn)的安全問(wèn)題。

安全事件處置

√ 應(yīng)及時(shí)向安全管理部門報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件；

√ 應(yīng)制定安全事件報(bào)告和處置管理制度，明確不同安全事件的報(bào)告、處置和響應(yīng)流程，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)等；

√ 應(yīng)在安全事件報(bào)告和響應(yīng)處理過(guò)程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過(guò)程，總結(jié)經(jīng)驗(yàn)教訓(xùn)；

√ 對(duì)造成系統(tǒng)中斷和造成信息泄漏的重大安全事件應(yīng)采用不同的處理程序和報(bào)告程序。

需求痛點(diǎn)

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，各行業(yè)客戶普遍都存在資產(chǎn)不清、責(zé)權(quán)不清、風(fēng)險(xiǎn)不明、管理不明等問(wèn)題，而從網(wǎng)絡(luò)資產(chǎn)運(yùn)營(yíng)者的角度而言，資產(chǎn)安全管理主要面臨如下痛點(diǎn)需求：

◆ 網(wǎng)絡(luò)資產(chǎn)發(fā)現(xiàn)能力不足

傳統(tǒng)的資產(chǎn)發(fā)現(xiàn)能力多采用人工整理或網(wǎng)管軟件等方式，一方面依賴專用協(xié)議或Agent等方式，需要系統(tǒng)、設(shè)備等目標(biāo)資產(chǎn)兼容，并且可發(fā)現(xiàn)資產(chǎn)類型受限，數(shù)量較少；另一方面依靠人工梳理的方式偏向于設(shè)備或系統(tǒng)臺(tái)賬的梳理，資產(chǎn)記錄的粒度較粗并且容易造成信息缺失。因此，需要有一種方式可以直接從網(wǎng)絡(luò)當(dāng)中自動(dòng)學(xué)習(xí)和梳理資產(chǎn)，以滿足全面準(zhǔn)確和及時(shí)有效發(fā)現(xiàn)資產(chǎn)的需求。

◆ 資產(chǎn)安全管理能力不足

資產(chǎn)安全的主要問(wèn)題之一就是管理與安全的脫節(jié)，業(yè)務(wù)部門對(duì)系統(tǒng)資產(chǎn)的快速迭代生產(chǎn)需求和安全部門對(duì)資產(chǎn)穩(wěn)定安全運(yùn)行的要求存在天然的沖突點(diǎn)，而當(dāng)前的管理制度主要靠用戶的主動(dòng)性和人工的跟蹤方式，容易造成信息缺失和疏忽，安全監(jiān)測(cè)和掃描的結(jié)果又需要反復(fù)核對(duì)和比對(duì)才能進(jìn)行合理整改。因此，需要一種平臺(tái)化的統(tǒng)一管理方式，能夠自動(dòng)化的將信息關(guān)聯(lián)起來(lái)，提高準(zhǔn)確性和處理效率。

◆ 資產(chǎn)風(fēng)險(xiǎn)研判能力不足

隨著用戶對(duì)信息安全重視度的提高，網(wǎng)絡(luò)當(dāng)中具備的安全能力種類也在增多，通常有漏洞掃描、流量分析和威脅監(jiān)測(cè)等能力，但在實(shí)際的問(wèn)題分析當(dāng)中，往往面臨海量的事件日志，其中存在大量的噪音數(shù)據(jù)需要甄別過(guò)濾，分析效率較低；另外，傳統(tǒng)安全事件與資產(chǎn)自身屬性的關(guān)聯(lián)信息較少，例如單純的漏洞信息或攻擊日志只記錄了相關(guān)的IP信息，缺少影響資產(chǎn)的屬性和用途等信息，在進(jìn)行風(fēng)險(xiǎn)研判時(shí)缺少支撐，難以做出準(zhǔn)確判斷，仍然需要人工核對(duì)，影響處置效率。因此，需要一種基于資產(chǎn)的風(fēng)險(xiǎn)研判方式，可以快速甄別真實(shí)風(fēng)險(xiǎn)，做出準(zhǔn)確的處置判斷。

◆ 事件應(yīng)急處置能力不足

資產(chǎn)安全的另一個(gè)決定性因素是事件處置是否能夠閉環(huán)，通常的安全能力都是獨(dú)立部署，按照不同的安全需求和政策要求進(jìn)行合規(guī)建設(shè)，然后再靠人工維護(hù)來(lái)建立關(guān)聯(lián)能力并形成閉環(huán)，更多的場(chǎng)景下做的是事前預(yù)防和事后補(bǔ)救恢復(fù)的動(dòng)作，在緊急事件發(fā)生時(shí)缺少敏捷的響應(yīng)手段，應(yīng)急處置能力不足。因此，需要一種閉環(huán)的關(guān)聯(lián)策略，能夠根據(jù)預(yù)先設(shè)定要的應(yīng)急預(yù)案，自動(dòng)化執(zhí)行對(duì)應(yīng)的動(dòng)作或聯(lián)動(dòng)相應(yīng)的能力，從而真正做到協(xié)同聯(lián)動(dòng)，實(shí)現(xiàn)主動(dòng)響應(yīng)。

◆ 問(wèn)題溯源取證能力不足

安全問(wèn)題永遠(yuǎn)不能完全避免，所以問(wèn)題發(fā)生后的溯源和分析取證就顯得尤為重要。在實(shí)際的事件場(chǎng)景當(dāng)中，全面的攻擊路徑分析和可靠的風(fēng)險(xiǎn)行為畫像可以有助于用戶準(zhǔn)確甄別真正的風(fēng)險(xiǎn)點(diǎn)，做出可靠的修復(fù)方案以應(yīng)對(duì)后續(xù)的安全威脅。因此通過(guò)大數(shù)據(jù)分析的方式保留足夠原始信息，并且適當(dāng)?shù)倪\(yùn)用事件追溯和安全情報(bào)的能力，擴(kuò)展本地事件分析時(shí)的可參考依據(jù)，進(jìn)而強(qiáng)化問(wèn)題溯源取證的能力。

詳細(xì)方案

針對(duì)常見的資產(chǎn)安全問(wèn)題，盛邦安全制定了“五步法”網(wǎng)絡(luò)資產(chǎn)安全治理解決方案（以下簡(jiǎn)稱“五步法解決方案”），從摸清家底出發(fā)，通過(guò)資產(chǎn)學(xué)習(xí)、備案管理、立體防護(hù)、自動(dòng)化運(yùn)營(yíng)和應(yīng)急響應(yīng)五個(gè)關(guān)鍵步驟，覆蓋網(wǎng)絡(luò)資產(chǎn)上線安全檢查、本地備案管控、運(yùn)行安全監(jiān)控、合規(guī)建設(shè)和協(xié)同應(yīng)急處置等全生命周期，可以有效識(shí)別未知資產(chǎn)風(fēng)險(xiǎn)，全面監(jiān)控在運(yùn)資產(chǎn)，及時(shí)進(jìn)行問(wèn)題資產(chǎn)下線處置等，滿足網(wǎng)絡(luò)資產(chǎn)運(yùn)行過(guò)程各個(gè)環(huán)節(jié)的針對(duì)性安全需求。

五步法解決方案以網(wǎng)絡(luò)資產(chǎn)安全治理平臺(tái)為核心，結(jié)合漏掃、防火墻、入侵防御系統(tǒng)和Web應(yīng)用防護(hù)系統(tǒng)等產(chǎn)品構(gòu)成整體方案，利用資產(chǎn)治理能力將綜合監(jiān)控能力和縱深防御能力有機(jī)結(jié)合，實(shí)現(xiàn)常態(tài)化的合規(guī)安全建設(shè)和實(shí)戰(zhàn)化的應(yīng)急響應(yīng)處置，為用戶提供持續(xù)性的安全能力。方案整體部署示意圖如下所示：

根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu)和流量規(guī)模，網(wǎng)絡(luò)資產(chǎn)安全治理平臺(tái)可以采用分布式模式進(jìn)行部署，對(duì)不同安全域的資產(chǎn)分別進(jìn)行梳理并由主控平臺(tái)進(jìn)行統(tǒng)一備案與管理；平臺(tái)自身可提供綜合性的可用性、安全性和合規(guī)性監(jiān)控能力，可以同漏洞掃描設(shè)備形成補(bǔ)充，一方面提供自動(dòng)化的安全運(yùn)營(yíng)能力，另一方面可以對(duì)全網(wǎng)各層邊界的防火墻、入侵防御和Web應(yīng)用防護(hù)等縱深能力進(jìn)行持續(xù)監(jiān)督，形成立體化的防護(hù)體系。最后，通過(guò)平臺(tái)自身的旁路阻斷能力配合與防火墻、WAF等設(shè)備聯(lián)動(dòng)形成的探針阻斷能力，可以對(duì)所監(jiān)控的安全事件進(jìn)行對(duì)應(yīng)顆粒度的應(yīng)急處置，并可以選擇根據(jù)策略自動(dòng)執(zhí)行相應(yīng)動(dòng)作，實(shí)現(xiàn)安全閉環(huán)。具體的安全能力如下所述。

◆ 摸清家底

在攻防當(dāng)中，知己知彼才是決勝之道，如果對(duì)自身防護(hù)范圍、資產(chǎn)暴露面梳理不清，那么任何監(jiān)控和防護(hù)手段都難以消除死角，達(dá)不到真正效果，因此摸清家底、底數(shù)自清是整個(gè)資產(chǎn)治理體系的第一步，同時(shí)也是關(guān)鍵一步。在五步法解決方案中，網(wǎng)絡(luò)資產(chǎn)安全治理平臺(tái)可以采用主被動(dòng)結(jié)合的方式來(lái)進(jìn)行網(wǎng)絡(luò)資產(chǎn)的摸底與梳理，利用網(wǎng)絡(luò)自身的特性，一方面通過(guò)對(duì)過(guò)往業(yè)務(wù)流量進(jìn)行監(jiān)聽分析，梳理活動(dòng)中的網(wǎng)絡(luò)資產(chǎn)并記錄詳細(xì)信息；另一方面通過(guò)主動(dòng)探測(cè)的方式對(duì)網(wǎng)絡(luò)可達(dá)范圍內(nèi)存活的目標(biāo)進(jìn)行偵測(cè)識(shí)別，并結(jié)合海量的指紋信息對(duì)資產(chǎn)進(jìn)行精準(zhǔn)畫像；最后通過(guò)開放的數(shù)據(jù)入口進(jìn)行手動(dòng)錄入或模板導(dǎo)入，進(jìn)一步進(jìn)行對(duì)照補(bǔ)充，形成全面準(zhǔn)確的資產(chǎn)信息庫(kù)。

通過(guò)對(duì)資產(chǎn)進(jìn)行摸底梳理，既可以對(duì)網(wǎng)絡(luò)中運(yùn)行資產(chǎn)形成一個(gè)清晰的臺(tái)賬列表，方便后續(xù)的持續(xù)跟蹤與管理；也可以在梳理過(guò)程中及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)當(dāng)中隱藏的未知資產(chǎn)、違規(guī)資產(chǎn)和“帶病”資產(chǎn)等安全隱患，提前進(jìn)行問(wèn)題修復(fù)或關(guān)停下線等整改處置，確保不留安全死角。

◆ 備案審核

很多安全事件的產(chǎn)生都是由于系統(tǒng)私搭亂建、業(yè)務(wù)違規(guī)上線、過(guò)期未及時(shí)退運(yùn)，或者開發(fā)人員為方便調(diào)試私自將測(cè)試系統(tǒng)發(fā)布所導(dǎo)致。對(duì)于這類問(wèn)題資產(chǎn)，一方面需要擁有技術(shù)手段能夠及時(shí)發(fā)現(xiàn)，準(zhǔn)確處理；另一方面也需要部門之間緊密配合，保持信息通暢、流程完整。

為了解決業(yè)務(wù)部門和安全部門在資產(chǎn)管理當(dāng)中的脫節(jié)問(wèn)題，方案引入本地備案體系來(lái)進(jìn)行解決。通過(guò)網(wǎng)絡(luò)資產(chǎn)安全治理平臺(tái)內(nèi)置的備案管理模塊，安全部門可以對(duì)自學(xué)習(xí)過(guò)程中發(fā)現(xiàn)的未知資產(chǎn)發(fā)布認(rèn)領(lǐng)通知，對(duì)無(wú)人確認(rèn)的資產(chǎn)進(jìn)行關(guān)停處置；另外，業(yè)務(wù)部門也可以對(duì)待上線的系統(tǒng)發(fā)布申請(qǐng)流程，由安全部門確認(rèn)填報(bào)信息和資產(chǎn)安全狀態(tài)后進(jìn)行審批上線。通過(guò)本地的備案審核管控，既可以確保資產(chǎn)歸屬信息完整，責(zé)任責(zé)權(quán)到人，實(shí)現(xiàn)安全閉環(huán)；又可以提供可靠的管控流程，保證資產(chǎn)上線、整改、變更和退運(yùn)都有平臺(tái)支撐，方便跟蹤管理。

◆ 立體防護(hù)

對(duì)于運(yùn)行中的網(wǎng)絡(luò)資產(chǎn)，防護(hù)的有效性是安全的決定性因素。具體的安全建設(shè)可以參考等級(jí)保護(hù)等基本要求來(lái)進(jìn)行，按照縱深防護(hù)的原則在互聯(lián)網(wǎng)接入邊界部署防火墻、接入?yún)^(qū)域部署抗DDoS系統(tǒng)、入侵防御系統(tǒng)等安全網(wǎng)關(guān)，在服務(wù)器區(qū)域邊界部署Web應(yīng)用防護(hù)系統(tǒng)（即WAF），在服務(wù)器終端部署網(wǎng)頁(yè)防篡改及其他終端防護(hù)類產(chǎn)品。在實(shí)際當(dāng)中，盡管有面向各種場(chǎng)景的防護(hù)產(chǎn)品，但由于運(yùn)維交接、配置變更等原因，經(jīng)常會(huì)面臨安全策略的失效問(wèn)題，例如策略防護(hù)粒度太粗，效果太寬泛，造成攻擊漏防；或者策略覆蓋面不全，部分系統(tǒng)資產(chǎn)未在防護(hù)范圍內(nèi)。單純依靠防護(hù)產(chǎn)品的堆砌和策略的疊加很容易造成問(wèn)題隱患的累積，導(dǎo)致防護(hù)失效。

五步法資產(chǎn)治理解決方案提供的立體化防護(hù)思路，除了強(qiáng)調(diào)防護(hù)產(chǎn)品的合理分配部署之外，還提供了綜合性的安全監(jiān)測(cè)能力作為補(bǔ)充，通過(guò)持續(xù)性的安全自查可以有效的對(duì)防護(hù)有效性進(jìn)行監(jiān)督，讓靜態(tài)的安全建設(shè)具備了動(dòng)態(tài)的評(píng)價(jià)指標(biāo)，從而及時(shí)發(fā)現(xiàn)新的配置漏洞和缺項(xiàng)，合理調(diào)整防護(hù)策略，實(shí)現(xiàn)精確防御和精準(zhǔn)防護(hù)的能力要求。

◆ 自動(dòng)運(yùn)營(yíng)

在網(wǎng)絡(luò)資產(chǎn)正常運(yùn)行期間，除了有效的防護(hù)之外，還需要建立持續(xù)性的安全運(yùn)營(yíng)能力。五步法資產(chǎn)治理解決方案提供了主被動(dòng)協(xié)同的自動(dòng)化運(yùn)營(yíng)能力，一方面通過(guò)主動(dòng)的安全監(jiān)控能力，對(duì)系統(tǒng)、Web、數(shù)據(jù)庫(kù)等漏洞風(fēng)險(xiǎn)，敏感詞、惡意鏈接等內(nèi)容風(fēng)險(xiǎn)，以及資產(chǎn)存活狀態(tài)、端口開放狀態(tài)等屬性進(jìn)行周期性的檢測(cè)與監(jiān)控；另一方面通過(guò)被動(dòng)的風(fēng)險(xiǎn)分析能力，對(duì)入侵威脅、Webshell利用等惡意行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并結(jié)合安全情報(bào)分析進(jìn)一步對(duì)風(fēng)險(xiǎn)來(lái)源進(jìn)行識(shí)別捕獲，同時(shí)利用對(duì)資產(chǎn)訪問(wèn)態(tài)勢(shì)的監(jiān)控做到對(duì)僵尸網(wǎng)站等違規(guī)資產(chǎn)的監(jiān)控預(yù)警。

此外，通過(guò)網(wǎng)絡(luò)資產(chǎn)安全治理平臺(tái)的協(xié)同能力，可以對(duì)資產(chǎn)對(duì)象進(jìn)行7*24小時(shí)的健康巡檢，針對(duì)監(jiān)測(cè)到的安全風(fēng)險(xiǎn)自動(dòng)化執(zhí)行通報(bào)預(yù)警，并按需形成資產(chǎn)視角、風(fēng)險(xiǎn)視角和管理視角等不同維度的數(shù)據(jù)報(bào)表，方便用戶進(jìn)行集中審計(jì)與綜合研判。同時(shí)，針對(duì)資產(chǎn)漏洞風(fēng)險(xiǎn)的管理，治理平臺(tái)還提供了專用的整改流程，從而將資產(chǎn)的漏洞檢查、在線驗(yàn)證、修復(fù)跟蹤和對(duì)比統(tǒng)計(jì)形成統(tǒng)一化管理。

◆ 應(yīng)急響應(yīng)

網(wǎng)絡(luò)資產(chǎn)安全治理的最后一步是閉環(huán)，五步法資產(chǎn)治理解決方案提供了常態(tài)化和實(shí)戰(zhàn)化場(chǎng)景下的應(yīng)急響應(yīng)能力，可以對(duì)問(wèn)題資產(chǎn)進(jìn)行快速的封禁處置，避免問(wèn)題影響擴(kuò)散。根據(jù)不同的資產(chǎn)屬性，結(jié)合戰(zhàn)時(shí)和日常保障的不同強(qiáng)度需求來(lái)執(zhí)行對(duì)應(yīng)粒度的處置動(dòng)作，從響應(yīng)方式出發(fā)可以概括為如下典型場(chǎng)景。

精細(xì)化協(xié)同處置

在日常安全保障當(dāng)中，為了實(shí)現(xiàn)精準(zhǔn)防護(hù)的需求，方案可以通過(guò)網(wǎng)絡(luò)資產(chǎn)安全治理平臺(tái)與Web應(yīng)用防護(hù)系統(tǒng)的協(xié)同聯(lián)動(dòng)來(lái)實(shí)現(xiàn)細(xì)粒度的處置動(dòng)作，例如針對(duì)同一IP地址下的不同Web資產(chǎn)，可以區(qū)分問(wèn)題資產(chǎn)與正常資產(chǎn)，僅對(duì)問(wèn)題Web資產(chǎn)進(jìn)行訪問(wèn)控制而不影響整個(gè)IP資產(chǎn)運(yùn)行。

在響應(yīng)流程當(dāng)中，用戶可以直接選擇自動(dòng)執(zhí)行響應(yīng)，也可以根據(jù)實(shí)際需要先進(jìn)行人工研判的策略，通過(guò)加入對(duì)問(wèn)題判斷驗(yàn)證的環(huán)節(jié)，在保證高效應(yīng)急的同時(shí)進(jìn)一步提升處置的準(zhǔn)確性。

敏捷型旁路阻斷

 

對(duì)于安全性要求較為嚴(yán)格的用戶場(chǎng)景，方案可以通過(guò)網(wǎng)絡(luò)資產(chǎn)安全治理平臺(tái)自身發(fā)送阻斷包的方式來(lái)實(shí)現(xiàn)敏捷的IP級(jí)應(yīng)急響應(yīng)。在監(jiān)測(cè)到問(wèn)題資產(chǎn)時(shí)，平臺(tái)可以按照預(yù)定的策略主動(dòng)構(gòu)造阻斷數(shù)據(jù)包，并從旁路向訪問(wèn)側(cè)和資產(chǎn)側(cè)同時(shí)發(fā)送，直接阻斷后續(xù)的交互動(dòng)作，達(dá)到實(shí)時(shí)封堵漏洞利用行為和保護(hù)問(wèn)題資產(chǎn)的目的。

在旁路阻斷的過(guò)程中，可以對(duì)范圍進(jìn)行設(shè)定，選擇封堵全網(wǎng)對(duì)問(wèn)題資產(chǎn)的訪問(wèn)或者僅屏蔽外網(wǎng)訪問(wèn)，從而實(shí)現(xiàn)對(duì)不同風(fēng)險(xiǎn)等級(jí)下問(wèn)題的區(qū)分處理，即選擇對(duì)外網(wǎng)入侵的封堵或?qū)?nèi)網(wǎng)橫向擴(kuò)散攻擊的封堵效果。

一鍵式下線封禁

在重保等戰(zhàn)時(shí)場(chǎng)景下，方案可以提供直接的問(wèn)題資產(chǎn)處置方式，通過(guò)移動(dòng)終端等設(shè)備，用戶可以直接訪問(wèn)治理平臺(tái)提供的資產(chǎn)列表，通過(guò)選擇“下線”或“上線”按鈕手動(dòng)執(zhí)行對(duì)問(wèn)題資產(chǎn)的下線或恢復(fù)動(dòng)作，一鍵下線的方式可以充分利用方案提供的研判依據(jù)和用戶自身的判斷數(shù)據(jù)，實(shí)現(xiàn)直接的應(yīng)急響應(yīng)。

 

方案特點(diǎn)

◆ 強(qiáng)大的資產(chǎn)識(shí)別能力

方案提供了深度的流量分析能力和海量的資產(chǎn)指紋庫(kù)，可以對(duì)Web資產(chǎn)、操作系統(tǒng)、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和物聯(lián)網(wǎng)設(shè)備等各類軟硬件網(wǎng)絡(luò)資產(chǎn)進(jìn)行多維度的精準(zhǔn)畫像，建立全面的資產(chǎn)信息庫(kù)。

目前，資產(chǎn)指紋的規(guī)模已超過(guò)28個(gè)大類，包含12萬(wàn)以上具體指紋信息，其中包括了Web應(yīng)用、中間件、操作系統(tǒng)、應(yīng)用服務(wù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、計(jì)算機(jī)終端、服務(wù)器設(shè)備、工業(yè)控制設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、打印機(jī)、攝像頭和云服務(wù)資源等各種類型，指紋深度可以到具體的版本號(hào)和子版本號(hào)。

針對(duì)關(guān)注度較高的Web資產(chǎn)，方案可以梳理其地址屬性、運(yùn)營(yíng)時(shí)間、運(yùn)行方式、服務(wù)類型、地理位置、中間件、操作系統(tǒng)、開發(fā)架構(gòu)、開發(fā)語(yǔ)言、編碼方式和防護(hù)狀態(tài)等多維度的信息，為日常的研判分析提供詳細(xì)數(shù)據(jù)。

◆ 可靠的資產(chǎn)管理能力

方案通過(guò)本地化的備案管控手段，有效結(jié)合了資產(chǎn)的管理和安全責(zé)權(quán)，將線下的安全審核和歸屬記錄提升為線上平臺(tái)化的基線要求和管控處置能力，可以在資產(chǎn)自學(xué)習(xí)的基礎(chǔ)上進(jìn)一步補(bǔ)全責(zé)權(quán)信息，包括實(shí)際用途、負(fù)責(zé)人信息、安全聯(lián)系人信息、應(yīng)急聯(lián)系方式等，能夠幫助安全部門有效的對(duì)業(yè)務(wù)資產(chǎn)進(jìn)行管理，實(shí)現(xiàn)可靠的資產(chǎn)審核與管理能力。除預(yù)置的備案模板之外，用戶還可以根據(jù)自身需求設(shè)定個(gè)性化的填報(bào)模板，進(jìn)一步整合碎片信息，全面的提升管理靈活性。

同時(shí)，通過(guò)進(jìn)行資產(chǎn)備案和認(rèn)領(lǐng)，可以快速識(shí)別未知資產(chǎn)，包括臨時(shí)系統(tǒng)、私搭亂建站點(diǎn)和測(cè)試系統(tǒng)等。及時(shí)進(jìn)行下線處置，厘清風(fēng)險(xiǎn)邊界。

◆ 豐富的安全監(jiān)測(cè)能力

方案提供了主動(dòng)掃描和被動(dòng)分析兩大維度的安全監(jiān)測(cè)能力，一方面對(duì)敏感端口、高風(fēng)險(xiǎn)服務(wù)、漏洞風(fēng)險(xiǎn)、弱口令、敏感詞、惡意鏈接等安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)分析；另一方面對(duì)入侵威脅、后門試探、違規(guī)外聯(lián)等風(fēng)險(xiǎn)行為進(jìn)行監(jiān)測(cè)預(yù)警。通過(guò)豐富的安全監(jiān)測(cè)能力，為資產(chǎn)穩(wěn)定運(yùn)行提供持續(xù)的護(hù)航能力。

◆ 高效的應(yīng)急響應(yīng)能力

方案通過(guò)系統(tǒng)間的協(xié)同聯(lián)動(dòng)和策略編排能力，為用戶提供了高效的應(yīng)急響應(yīng)能力。既可以利用旁路阻斷的技術(shù)實(shí)現(xiàn)敏捷處置，在避免單點(diǎn)故障風(fēng)險(xiǎn)的前提下提供主動(dòng)保護(hù)的能力；又可以通過(guò)協(xié)同聯(lián)動(dòng)實(shí)現(xiàn)精細(xì)化的問(wèn)題資產(chǎn)處置，在高效響應(yīng)的基礎(chǔ)上進(jìn)一步達(dá)到精準(zhǔn)防護(hù)的效果。

◆ 閉環(huán)的資產(chǎn)治理能力

方案覆蓋了網(wǎng)絡(luò)資產(chǎn)梳理、管控、監(jiān)控、防護(hù)和處置的全部流程，實(shí)現(xiàn)了風(fēng)險(xiǎn)閉環(huán)，同時(shí)針對(duì)新增資產(chǎn)上線、問(wèn)題資產(chǎn)下線、漏洞風(fēng)險(xiǎn)整改等場(chǎng)景設(shè)定了相應(yīng)的處置流程，進(jìn)一步實(shí)現(xiàn)了安全到管理的閉環(huán)。

 

方案價(jià)值

◆ 及時(shí)發(fā)現(xiàn)未知資產(chǎn)，做到防微杜漸

方案可以有效彌補(bǔ)用戶傳統(tǒng)資產(chǎn)管理方式的不足，幫助用戶打通信息化管理的流程，提升安全運(yùn)維的工作效率，進(jìn)而準(zhǔn)確發(fā)現(xiàn)未知資產(chǎn)并及時(shí)處置，做到及時(shí)的風(fēng)險(xiǎn)清零。

◆ 建立統(tǒng)一資產(chǎn)看板，助力分析研判

方案通過(guò)全面的資產(chǎn)學(xué)習(xí)和梳理，可以幫助用戶建立完整的資產(chǎn)看板，并且將線下的碎片化資產(chǎn)信息轉(zhuǎn)變?yōu)榫€上的直觀資產(chǎn)視圖，基于可視化的操作窗口對(duì)資產(chǎn)進(jìn)行直觀的運(yùn)行態(tài)勢(shì)監(jiān)控與安全狀態(tài)分析，幫助安全管理員準(zhǔn)確做出研判分析。

◆ 建立資產(chǎn)管控流程，確保責(zé)權(quán)分明

方案利用豐富的資產(chǎn)管控流程，可以幫助用戶將業(yè)務(wù)部門、開發(fā)部門、運(yùn)維部門和安全部門的工作合理銜接起來(lái)，利用平臺(tái)化的管理方式來(lái)落地具體的安全制度，確保資產(chǎn)從申請(qǐng)、審核、上線到變更或退運(yùn)的各個(gè)環(huán)節(jié)能夠做到歸屬明確、責(zé)權(quán)清晰，使得資產(chǎn)安全事件有據(jù)可查、處置合理。

關(guān)鍵詞：網(wǎng)絡(luò)空間地圖、網(wǎng)絡(luò)資產(chǎn)測(cè)繪、網(wǎng)絡(luò)空間資產(chǎn)探測(cè)