一、前言

　　每一個做安全資產管理的同學們，都一個終極夢想，那就是掌握所有信息資產。為什么要掌握所有的安全資產呢，因為做防守的同學們有一個邏輯，掌握全量資產才有可能掌握資產上的風險和隱患。為什么說是夢想呢？每一代想挑戰安全資產管理的人也不少，關于安全資產管理的實踐也多如牛毛，但至今未見圈內有最佳實踐。可見做好安全資產管理的難度不是一般的大。此前有些實踐基礎，文章定名進階實踐。

　　二、為什么要做

　　第一、解決安全度量中的覆蓋率計算問題。

　　覆蓋率計算時，需要全量的資產作為分母。比如，終端上的網絡準入、防病毒、EDR等。服務器上的防病毒、HIDS等。統計安全度量數據時，資產是分母。沒有全量資產，統計出的度量數據，沒有公信力。

　　第二、解決漏洞情報響應中的資產定位和影響分析問題。

　　前兩年曾設想過，漏洞情報出現時，如果能直接關聯資產數據，可直接確定受影響范圍，再配合SOAR直接分發工單。受漏洞利用條件、資產數據不完整的影響，一直不曾實現。

　　在響應過程中，還被質問「我的Java版本不受影響，為啥發工單給我？」。問題是收到漏洞情報響應時，需要有軟件、中間件、JAR包的版本號判斷影響范圍。需要有啟動用戶、關聯軟件版本、配置文件、插件版本等資產判斷是否可利用。需要互聯網開放情況判斷處置優先級。天知道你是啥配置啊？

　　第三、解決告警處置中的人員、資產定位問題，為分析提供支撐。

　　出現入侵告警時，需要有資產負責人的姓名、電話、IAM賬號、人員經理信息，溝通確認是否為攻擊行為，排查是否為誤報（有可能是員工操作）。若非員工操作，確認為攻擊者行為，排查被攻擊的漏洞是否存在（有可能是掃描器），需要有軟件、中間件、框架、組件、JAR包等資產信息支撐。

　　第四、解決事件響應中的漏洞定位問題，為分析提供支撐。

　　如有攻擊成功，進入響應階段。需要排查進程、端口、啟動項、文件Hash、文件簽名、系統日志等信息，確認是否被安裝后門。分析攻擊者是否橫向移動時，需要排查周邊設備的漏洞情況、安全防護情況，分析可能的影響范圍。

　　第五、解決運營過程中資產無法自動化查詢的問題。

　　較多的安全系統都會有資產查詢需求，無資產API查詢時，只能通過手工查詢定位系統的負責人信息。比如，自動化運營場景中，每個流程都有多個步驟，每個步驟有多個查詢，任意一個資產信息查詢無對應API時，均會導致流程自動化斷層，自動化運營系統的價值會大打折扣。

　　第六、安全運營未來發展和進化支撐。

　　安全運營的發展和進化，和打游戲時的科技樹一樣，沒有基礎能力時，很多高階能力是無法真正實現的。比如，近期的零信任，前期的態勢感知，由于沒有強有力的基礎能力支撐，被玩成了圈內的笑話。小到安全能力有效性、安全設備巡檢，大到實現零信任、安全大腦、智能決策、UEBA等，均會受到影響。

　　三、解決方案思考

　　事物發展循環：從無到有，從有到多，從多到合。安全資產管理階段：

　　階段一，從無到有，各團隊詢問更新，自維護本地表格時代。2017

　　階段二，表格量大無法維護，升級為簡單查詢的在線系統。2018

　　階段三，系統數據源不夠，增加自主發現（掃描和監測）。2019

　　階段四，系統+自主發現仍無法覆蓋全量資產提出SCMDB。2020

　　階段五，大數據平臺式解決思路，安全資產管理中心。2021

　　階段六，安全資產管理關聯漏洞、隱患等的攻擊面管理（ASM）。2022

　　階段七，設備、用戶、系統畫像+攻擊者畫像，全景聯動分析。2023

　　在2019年左右，我們處在階段四，向階段五進發，沒有理論上可行的思路。有個朋友興奮的向我介紹 2019年RASC創新沙盒冠軍 Axonius ，同時表示打通各系統是個非常難搞定的事，最終放棄了。2020年，我們完成SOAR上對接各種系統和設備，開始與國內多家創業公司接觸，期望能共同研發類似的產品，解決資產管理的大痛點。

　　2021年與多家企業溝通后，在應用場景、產品定位、設計理念、核心能力、同步方式、數據結構等方面達成一致。直到2022年產品才得以落地，經過運營人員實際應用，又對產品進行打磨優化。

　　四、最終實現效果

　　第一、安全度量支撐，實現終端和服務器覆蓋率每日自動統計。

　　將終端準入、終端防病毒、終端DLP、網絡掃描器等數據合并去重，作為分母。各系統自身數據作為分子，自動化計算和安全系統的覆蓋率。將HIDS、服務器防病毒、網絡掃描器、CMDB、運維自動化、運維監控、系統平臺等數據合并去重，作為分母。各系統自身數據作為分子，自動化計算覆蓋率。已實現的安全系統見下圖。

　　第二、情報響應支撐，一鍵查詢漏洞情報的影響范圍。

　　通過一條查詢語句，實現是否開放公網、操作系統版本、軟件版本、關聯軟件版本、啟動用戶等多條件查詢，直接定位實際受影響的資產，再通過SOAR自動化完成工單創建。再也怕別人反問「我的JAVA版本不受影響，為啥發給我？」查詢實現截圖如下。

　　第三、告警處置支撐，自動富化工單一眼可知關鍵信息。

　　通過SOAR聯動查詢安全資產管理系統，自動補充系統負責人、聯系方式信息，并自動創建告警工單，將判斷告警真偽需要的信息富化到工單中。自動化將樣本上傳至沙箱，獲取沙箱檢測報告到工單中。實現截圖如下。

　　第四、事件響應支撐，一屏掌握資產和漏洞優化級。

　　通過資產管理系統，一站式查詢問題資產的聚合信息，使用VPT功能分析快速定位入侵點。同時可一站式查詢周邊設備漏洞情況、防護情況，為下一步工作做好準備。實現截圖如下。

　　第五、自動化運營支撐，未來一定是自動化、智能化的。

　　安全資產管理系統提供全量API接口，配合SOAR，實現告警處置、安全巡檢的全流程自動化。解決流程因資產問題無法自動化的問題。節省人力的同時，讓自動化的想象空間可以更大。此處無圖。

　　五、未來可期之展望

　　第一、安全資產管理與BAS。進入安全運營階段后，安全能力有效性會成為一個焦點。在實踐的過程中，掌握資產的漏洞后，可與BAS聯動進行測試，實現風險管理的閉環。

　　第二、安全資產管理與零信任或安全大腦。隨著安全運營成熟度的不斷提高，最后實現的一定是動態自適應安全，類似零信任的持續認證，動態調整策略。而零信任市場上，直到目前都沒有出現一個像樣的總控中心。可以類人思考，基于攻擊者、應用、主機的畫像，實現動態的策略調整。

更多信息可以來這里獲取==>>電子技術應用-AET<<