信息安全的建设实质是风险管理,风险管理的三要素分别是资产、威胁和脆弱性,这三项的基础是资产管理,如何做好资产管理是IT管理人员和运维人员面临的一大难题,有很多的产品可以做资产管理,但是他们的功能是比较单一的,单一的功能并不能能适应企业对资产管理的需求。
资产包括机房设备、网络设备、安全设备、应用服务器、中间件、虚拟化平台等。例如网络设备又细分为IP地址、MAC地址、路由信息等;应用服务器具体包括系统类型、已安装应用程序等;中间件又细分为中间件类型、版本等。
目前的资产梳理主要是使用单一化产品来进行资产管理,例如日志审计系统、运维管理系统、远程评估系统进行资产管理。但是单兵作战远远比不过团队作战。
网络安全攻击的手段和形势越来越先进,攻击已从传统的网络层逐渐转移至系统内核层,传统的资产管理系统主要是基于网络层资产管理(IP、MAC)。我们使用远程评估系统对信息系统进行扫描,我们可以扫描到大量主机地址、脆弱性、开放端口等信息,但如果我们修改了常用端口,那么远程评估系统的准确性值得关注,另外业务层漏洞远程评估系统束手无策。
在RSA大会,我们看到欧美国家注重的是威胁的检测和发现,那么我们是否可以换一种思路来考虑资产管理的问题呢,通过威胁检测技术,我们可以发现不常用的资产,比如PC、服务器。而这些资产是攻击者的主要宿主。日志审计的前提是配置、远程评估有时效性、运维管理系统主要是针对网络层。所以对这种隐蔽性较高、低频度的、慢攻击、协议漏洞攻击等,传统的设备往往难以应对。那么我们可以使用一种实时监测设备,对全网数据流量进行采集,后台使用沙箱、威胁建模模型,分析攻击事件。我们可以识别攻击事件对应的主机、IP地址、开放端口、操作系统类型,这些是传统的资产梳理最易疏漏的,这类资产价值可能不高,但是也是最薄弱的一环,IT管理人员和运维人员往往会将最重要的资产进行层层安全防护,而对边缘化资产没有防护和检测。
最后我们对资产的重要性进行分类,尤其是重要资产和边缘化资产,可以准对资产的脆弱性程度和重要性,制定不同的资产管理策略,同时制定补丁管理库和基线配置库,对资产的上线和下线实时监控,对资产的整个生命周期进行监控和审计。