從RSA2019創(chuàng)新沙盒冠軍���,說說網(wǎng)絡(luò)資產(chǎn)管理踩過的那些坑
資產(chǎn)管理�,看起來沒什么技術(shù)含量����,是很多人不屑于從事的安全工作���,又或者是某些人眼中大量開源軟件的堆砌。但其實國內(nèi)的網(wǎng)絡(luò)資產(chǎn)梳理工作早就如火如荼的開展起來了��,作為網(wǎng)絡(luò)安全資產(chǎn)摸底���、資產(chǎn)治理領(lǐng)域的一名資深從業(yè)者���,接下來筆者將分幾篇文章和大家聊聊這幾年在網(wǎng)絡(luò)資產(chǎn)安全戰(zhàn)斗中踩過那些坑以及背后的心得體會����。
網(wǎng)絡(luò)資產(chǎn)管理是網(wǎng)絡(luò)空間治理的基石
網(wǎng)絡(luò)空間作為繼陸����、海、空�����、天之后的“第五疆域”�����,已成為當(dāng)前世界各國爭奪的戰(zhàn)略焦點�����。我國已經(jīng)成為網(wǎng)絡(luò)大國�,智慧城市、數(shù)字中國��、互聯(lián)網(wǎng)+等技術(shù)浪潮正在改造傳統(tǒng)的生產(chǎn)和生活模式,網(wǎng)絡(luò)安全也成為事關(guān)國家安全����、國家發(fā)展和廣大人民群眾工作生活的重大戰(zhàn)略問題。
習(xí)總書記在“4.19講話”上指出“維護網(wǎng)絡(luò)安全�����,首先要知道風(fēng)險在哪里��,是什么樣的風(fēng)險��,什么時候發(fā)生風(fēng)險”��。工作重點是“摸清家底���,認(rèn)清風(fēng)險,找出漏洞�,通報結(jié)果,督促整改”�。可見“摸清家底”�,也就是通過各種技術(shù)手段實現(xiàn)網(wǎng)絡(luò)空間設(shè)備的描述和識別,是網(wǎng)絡(luò)安全工作的重中之重�����,是網(wǎng)絡(luò)空間安全治理的基石。(此觀點與本屆創(chuàng)新沙盒大賽冠軍Axonius公司“You Can't Secure What You Can't See”的理念一致)
網(wǎng)絡(luò)空間中網(wǎng)絡(luò)數(shù)字資產(chǎn)的現(xiàn)狀
眾多網(wǎng)絡(luò)安全人員最為緊張的莫過于突發(fā)性的“黑客事件”����,尤其是當(dāng)那些集中爆發(fā)且聲勢浩大的黑客攻擊發(fā)生時,各家網(wǎng)絡(luò)安防人員無疑會高度戒備����,嚴(yán)陣以待。通過對安全攻擊事件進行持續(xù)的跟蹤和分析���,盛邦安全發(fā)現(xiàn)���,從安全攻擊的目標(biāo)行業(yè)來看,在近三年發(fā)生的400多起攻擊事件中�,教育行業(yè)占比達(dá)到55%,政府行業(yè)占43%�����。在剛過去的2018年�����,政府類占比14%, 教育類占比19%, 企業(yè)占比49%���。針對教育行業(yè)�,盛邦安全選取了包括 985/211院校���、重點院校��、普通院校、高職���、普教5大類近百個教育機構(gòu)進行調(diào)研�,通過被動流量學(xué)習(xí)進行Web資產(chǎn)梳理和數(shù)據(jù)分析�����。
數(shù)據(jù)顯示����,已知系統(tǒng)資產(chǎn)數(shù)量占比資產(chǎn)總數(shù)分別為:
可見,即使是資產(chǎn)管理方面做得最好的211/985院校���,已知資產(chǎn)數(shù)量也僅占所有資產(chǎn)的55%, 仍然有45%的資產(chǎn)是未知的��。進一步研究發(fā)現(xiàn)�,這些未知資產(chǎn)的構(gòu)成主要為:
(1) 高端口資產(chǎn)占10%(就是做了端口轉(zhuǎn)換的資產(chǎn)):高端口是防火墻或者部分實驗室做了端口轉(zhuǎn)換的業(yè)務(wù)系統(tǒng)、網(wǎng)站等����。
(2) 業(yè)務(wù)系統(tǒng)占11%:這些業(yè)務(wù)系統(tǒng)由教學(xué)、教輔系統(tǒng)組成�,部分使用域名訪問,部分沒有進行備案登記���。比如�,常出問題的高校迎新管理系統(tǒng)�����、OA系統(tǒng)����、就業(yè)管理系統(tǒng)、圖書館管理系統(tǒng)等等����。
(3) 網(wǎng)絡(luò)設(shè)備/網(wǎng)絡(luò)安全設(shè)備占3%:分別是機房管理系統(tǒng)、交換機����、路由器��、網(wǎng)絡(luò)防火墻�����、上網(wǎng)行為管理�、流控設(shè)備����、計費系統(tǒng)等。
(4) 中間件占2%:指安裝了中間件系統(tǒng)����,但是默認(rèn)頁面可以對外訪問的資產(chǎn)���。這類默認(rèn)頁面常常會造成信息泄露����,從而導(dǎo)致安全問題����。
(5) 疑似業(yè)務(wù)系統(tǒng)占10%:對這類系統(tǒng)分別訪問和確認(rèn)���,發(fā)現(xiàn)由打印機、攝像頭��、電梯管理系統(tǒng)��、門禁卡管理系統(tǒng)��、大屏控制系統(tǒng)等物聯(lián)網(wǎng)設(shè)備組成����。隨著高職院校、普教等機構(gòu)的數(shù)字化校園的不斷推廣����,這部分占比極高。
基于對教育行業(yè)抽樣調(diào)研和統(tǒng)計數(shù)據(jù)可知����,廣域網(wǎng)網(wǎng)絡(luò)資產(chǎn)不清造成的危害是極其嚴(yán)重,也是極其棘手的:要知道����,目前安全管理和技術(shù)手段已經(jīng)層層疊加,但仍然還會有大量未知資產(chǎn)的存在�����,這不得不讓我們警惕。
經(jīng)過詳細(xì)的技術(shù)分析����,認(rèn)為主要原因有:
1) 業(yè)務(wù)多
業(yè)務(wù)部門眾多,導(dǎo)致需求不一致�����,記事本模式的資產(chǎn)管理方式不能及時跟進系統(tǒng)變化�。
2) 新技術(shù)
云平臺、虛擬化的大量使用�����,數(shù)據(jù)中心變化成為常態(tài)���,沒有新的資產(chǎn)管理方式。
3) 突發(fā)性
因為某個活動而建立的系統(tǒng)�����,當(dāng)活動結(jié)束后����,系統(tǒng)沒有及時退運����。
4) 管理員制度
當(dāng)管理員更替時��,交接不徹底����,或者多次交接,導(dǎo)致系統(tǒng)變?yōu)榻┦到y(tǒng)����。
解決以上問題的關(guān)鍵,最終還是要回歸到是否能夠做到對自身網(wǎng)絡(luò)資產(chǎn)“知根知底”��,是否能夠真正做到可知��、可控�、可管,快速定位風(fēng)險�����,并將威脅消滅在萌芽之中。網(wǎng)絡(luò)資產(chǎn)識別是網(wǎng)絡(luò)空間治理的基石�����,只有先把這步走好了�����,才能談得上后續(xù)對網(wǎng)絡(luò)空間的治理�。
資產(chǎn)治理系列將分幾篇文章陸續(xù)分享,接下來還將為大家?guī)砭W(wǎng)絡(luò)資產(chǎn)管理的方法論以及資產(chǎn)管理如何與業(yè)務(wù)相結(jié)合的深度解讀�。敬請期待。
