2023 年 5 月 10 日,美国政府宣布进入国家紧急状态,起因是美国最大的成品油的管道运营商Colonial Pipeline遭受勒索软件攻击。 5月12日,美国总统拜登签署《关于加强国家网络安全的行政命令》(Executive Order on Improving the Nation’s Cybersecurity)的第14028号行政命令。该《行政命令》的出台是美国政府对该事件和2023年底爆出的SolarWinds供应链APT攻击等一系列重大网络安全事件的响应,旨在采用大胆举措提升美国政府网络安全现代化和对威胁的整体抵御能力。
指令首次提出“关键软件”概念,希望增强美国联邦政府的软件供应链安全,要求向美国联邦政府出售软件的任何企业,不仅要提供软件本身,还必须提供软件物料清单,可见美国要求重要机构对使用的关键软件资产采用空前力度进行安全控制。
9月7日,美国政府政策部门管理和预算办公室(OMB)和网络安全和基础设施安全局(CISA)在2023年9月7日发布了支持该行政指令的《联邦零信任战略》(Federal Zero Trust Strategy)草案,将可视化和分析、自动化和编排和治理三项基础工作和能力贯穿到身份、设备、网络、应用程序、数据的五个零信任支柱中,看得见是一切安全的基础,要求联邦政府要有一个完整的授权运行的设备清单,并将盘点资产作为关键举措之一。
在我国,《关键信息基础设施安全保护条例》(以下简称关基条例)、《网络产品安全漏洞管理规定》和《数据安全法》自2023年9月1日起施行。特别是关基条例,是构建关键信息基础设施安全保护体系的顶层设计和重要举措,必将开启我国关键信息基础设施安全保护工作的新纪元,我国将建立网信和公安部门统筹与指导监督、重要行业和领域的主管部门保护、关键信息基础设施运营者主体运营的三层网络安全综合治理体系。条例也明确了网络安全服务机构的责任与义务,充分调动全社会的积极力量,共同建设关键信息基础设施网络安全监测预警、应急响应、检查检测、信息共享等能力体系。
经历了这几年实战化的大型攻防演练,三化六防、挂图作战已经成为关基单位网络安全工作的指导思想,网络空间资产的全面、动态、主动、精准防护成为必然。
一、基本定义在开始谈网络空间资产安全管理的目标、挑战与能力要求、实践前,有必要对谈的问题做个约定。
资产:指网络空间中某机构所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产。具体包括但不限于硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、机构公众号、小程序、App、API、源代码等(注:本定义引自数世咨询2023年:《网络空间资产测绘(CAM)能力指南》)。后面的讨论基本参照了本定义,和我们创业的认识和方向也是一致的。
随着数字化的演进和攻防技术的发展,我认为资产的内涵和外延还将不断发生变化,比如从覆盖面来讲,除了传统IT网络,还要覆盖cloud, IT, IoT, OT等环境,从深度上来讲,还要包括流量、身份、进程、访问关系等。除此以外,数据也是一种非常重要的资产,从整个生命周期来看,采集、传输、存储、处理、交换、销毁每个阶段都需要考虑安全的管理和控制,针对数据这种资产的管理,当前业界谈得比较多的是数据安全治理,因和业务紧密相关,数据需要流动和共享,落地难度就相当大了,但梳理数据资产现状,摸清单位拥有哪些数据、谁在使用、如何使用和基于此之上的数据分类分级则是数据保护工作的基础。
另外,从需求对象、需求目标、使用场景、采集数据及手段来看,不同视角的资产管理的差别很大,日常交流中发现经常混淆在一起,我这里说的当然是资产安全管理,当然也有人叫安全资产管理,这两个词到底哪个更合适就没有那么重要了。
二、目标我认为,资产安全管理的目标是构建满足安全运营人员日常工作所需的完整、统一、动态的资产台账系统,实现数字化管理,并能随时了解企业的网络空间攻击面,通过API集成与联动其他系统实现挂图作战和平战一体化。从管理的角度来说,则需要建立上线备案、变更管理、审批核查、考核汇报、漏洞闭环跟踪、基线与补丁管理、应急处置等安全管理流程,建立指标化的资产安全运营体系,实现资产全生命周期的安全运营。
直白地说,就是构建整个机构网络空间的安全视角资产库或城防地图,看清自己,随时感知风险和攻击面,为安全人员快速决策和行动提供直观、清晰的依据,同时通过与其他安全系统、外部情报的联动,能自动化调度和编排,实现高效运营。
三、挑战与要求随着数字化转型的加速,资产的形态多种多样,属性迅速变化,攻击面持续扩大,传统残缺、过时、离线、孤岛和缺乏安全视角的资产数据无法满足漏洞不断爆发、攻击愈演愈烈的安全形势下的防护要求,资产安全管理的主要挑战来自三个方面:
资产属性的缺失资产数据的碎片化资产形态的泛化缺乏统一、可信的资产安全台账系统成为各单位普遍存在的迫切问题。
当然,谈到管理,当然和组织业务和文化、IT与网络安全治理水平,内部分工也紧密相关,不仅仅是网络安全部门就能做好的。
资产安全管理系统与其他系统、安全产品的整合,需要用户侧安全与运维、应用部门的协同,还要求安全产品供应商配合才能完成,这个对接过程并不是标准化可复制的,如何在成本和效益之间寻找一个各方都能接受的平衡点至关重要,发动各方的积极性往往充满挑战。
因此,资产安全管理方案难于落地,本质上难的不是技术,而是管理,这也是至今这个顽疾并未很好解决的重要原因。
技术方面,需要主被动、攻击与运维视角等多维视角,并充分利用已有系统的数据,从全面性、准确性、实效性、开放性、持续性和关联性方面考虑数据的质量及和外部系统的联动,数据的存储、清洗、挖掘、检索和关联分析能满足各种场景和人员的使用需要。
四、我们的实践资产安全管理是一个持续的过程,无法一蹴而就,理想的情况是收集所有的数据,打通相关的系统,事实上达到100%完整和准确的数据是一个理想的目标,业务的动态性和人的因素决定了这个过程需要不断迭代和优化,并需要安全人员的运营才能真正发挥价值。
我们归纳的资产安全管理成熟度模型定义了达到不同阶段具备的能力、特征和需要攻克的挑战,在建设和运营方面的侧重点也不一样。
直接完成全网的资产安全管理需要足够的投入和多部门的沟通协调,建议采用小步快跑的思路针对不同的风险级别网络环境和业务系统(如互联网区、生产区、办公区)来分布建设。一旦选定区域,可以采用三步走的方法,第一步是资产发现,其次是风险缓解与闭环处置、然后进行持续优化与运营,单个区域的建设运营可为全网资产安全管理积累经验,也能让项目成员快速看到收益。
这两年,在摸清家底的迫切需要和大型实战攻防演练活动的驱动下,网络空间资产测绘作为一个新兴的技术为业界所关注,并在2023年被咨询机构评为中国网络安全十大创新方向和热点。
网络空间资产测绘是针对网络空间中的数字化资产,通过扫描探测、流量监听、主机代理、适配器对接、特征匹配等方式,动态发现、汇集资产数据,并进行关联分析与展现,以快速感知安全风险,把握安全态势,从而辅助用户进行指挥决策,支撑预测、保护、检测、响应等安全体系。
的确,网络空间资产测绘这个技术为解决资产安全管理这个老大难问题带来了新的思路,是解决好资产安全管理的有效手段。事实上,网络空间资产测绘并不是一个全新的技术。1997年,Fyodor发表文章《The Art of Port Scanning》,并发布Nmap的第一个版本,标志着网络资产探测技术的开始,2002年左右,利用Google搜索引擎来进行入侵的手段Google Hacking出现,2009年举办的黑客大会DEFCON会上,一位名叫约翰·马瑟利的黑客发布了一款名为“Shodan”的搜索引擎,可以搜索互联网上联网的设备,“傻蛋”也被评为互联网上最可怕的搜索引擎。
广为人知的公网测绘搜索引擎,主要往快速、无感、欺骗技术对抗、全量探测(全量IP、端口、全协议)和大数据分析方面发展,但即使全球IPV4地址的全量探测都是巨大的挑战,更不用谈IPV6。
另一方面,公网测绘引擎