從體系化建設(shè)視角淺析IT資產(chǎn)安全管理

1、 從體系化建設(shè)視角淺析IT資產(chǎn)安全管理 引言資產(chǎn)管理是 IT 治理永恒的主題之一，就像陽光、空氣和水，不起眼卻不可或缺。企業(yè)安全建設(shè)指南信息化的迅猛發(fā)展，徹底改變了生產(chǎn)生活的方式，也成為社會進步和經(jīng)濟發(fā)展的重要推動力。但作為信息化重要的載體IT資產(chǎn)，近些年卻飽受安全威脅之苦，勒索病毒、挖礦木馬、資產(chǎn)信息外泄等重大安全威脅至今未能徹底根除，更不用提那些連續(xù)爆出的高危的、可利用的安全漏洞。業(yè)務(wù)依托安全，安全服務(wù)于業(yè)務(wù)，IT資產(chǎn)的安全問題如果無法得到有效解決，最終會給信息化建設(shè)發(fā)展帶來極大的風險和阻礙。安全現(xiàn)狀資產(chǎn)安全管理很重要，但總是被選擇性忽略。現(xiàn)有的安全建設(shè)理念，更多的是選擇在資產(chǎn)的外圍架設(shè)各

2、類安全產(chǎn)品和安全能力，對安全威脅進行邊界性的防御，反而忽略了資產(chǎn)自身安全性的加固。針對資產(chǎn)本身，也只是采用商業(yè)甚至開源的漏掃工具對資產(chǎn)進行漏洞和風險初步管理，缺乏完善、可落地、可持續(xù)的資產(chǎn)安全管理體系，難以滿足安全需求，重外輕內(nèi)，導致資產(chǎn)安全性直接取決于外圍安全建設(shè)質(zhì)量。當外圍安全產(chǎn)品和安全能力一旦出現(xiàn)問題或無法保持較高防御水平，甚至面臨高級攻擊行為時，猶如馬奇諾防線一樣，一觸即潰，IT 資產(chǎn)瞬間變成了待宰的羔羊。選擇性忽略資產(chǎn)自身安全建設(shè)，確實也有諸多的苦衷，龐大的資產(chǎn)數(shù)量和類型、漫長又缺乏科學規(guī)劃的資產(chǎn)建設(shè)周期、資產(chǎn)的使用和管理跨越多個部門等等，長此以往，進入死循環(huán)，發(fā)生安全問題后進行有限

3、的修修補補，還極有可能帶來安全責任的扯皮現(xiàn)象，無法根本性解決資產(chǎn)安全問題。對于IT資產(chǎn)，安全產(chǎn)品和能力的引入，決定了安全的上限，自身的安全強度，決定了安全的下限，面向資產(chǎn)本身的安全管理建設(shè)勢在必行。總體思路資產(chǎn)安全管理分為很多維度，在安全視角來說，是從安全運營管理角度看待資產(chǎn)，通過對資產(chǎn)屬性進行安全管理，消除資產(chǎn)管理中的安全隱患，保障IT資產(chǎn)的安全性。IT資產(chǎn)自身的復(fù)雜性和當前嚴峻的安全形式，寄希望于通過單一的管理手段或安全工具都很難滿足需求，并且以往的經(jīng)驗證明，安全建設(shè)與業(yè)務(wù)形態(tài)無法深度結(jié)合，也會使安全效果大打折扣，不具備可持續(xù)性。所以，基于自身資產(chǎn)和業(yè)務(wù)情況，建立符合實際的管理制度和覆蓋資

4、產(chǎn)全生命周期的管控流程，再依托有效且針對性強的工具和技術(shù)，相互融合，互為支撐，形成一整套資產(chǎn)安全管理體系，是解決當前困境的一個可行方向。1. 資產(chǎn)安全管理制度管理制度難以發(fā)揮自身價值，甚至容易淪為擺設(shè)的原因有很多，主要總結(jié)為以下幾點：制定管理制度出發(fā)點有偏差，追求大而全，不符合安全現(xiàn)狀，難以突出重點。缺乏有效的工具支撐，導致制度的執(zhí)行質(zhì)量缺乏有效監(jiān)管手段，無法進行量化考核。缺乏更新意識，無法針對資產(chǎn)和業(yè)務(wù)形態(tài)的不斷演進提供制度支持和規(guī)范要求。各行各業(yè)存在不同的監(jiān)管要求和安全需求，所以資產(chǎn)安全管理制度的制定也存在較大的差異化，但要使制度得以良好的執(zhí)行，真正在實際工作中發(fā)揮價值，有些共性的原則需要

5、遵守：1) 明確目標和預(yù)期資產(chǎn)安全管理制度是管理體系各維度的操作標準和底線，既要對整體的目標和管理預(yù)期進行明確，結(jié)合各個維度的差異化特征進行管理目標的分解和預(yù)期效果的差異化要求。2) 對業(yè)務(wù)和安全現(xiàn)狀充分調(diào)研沒有調(diào)研就沒有發(fā)言權(quán)，基于充分調(diào)研和分析，制定針對性的資產(chǎn)安全管理制度，除了避免監(jiān)管死角的存在，也在責任劃分更加清晰，能夠為安全管理提供制度支持，更有利于制度的執(zhí)行和權(quán)威性的保障。3) 針對性進行工具和技術(shù)支撐能力建設(shè)在工具和技術(shù)的選擇上，需要以制度的可充分執(zhí)行和管控流程的有效落地實踐為標準。4) 靈活性和可持續(xù)性制度需要隨著資產(chǎn)和業(yè)務(wù)的不斷變化進行適配，對新業(yè)態(tài)的風險點及時提出規(guī)范性要求

6、，是安全性的保障，也是權(quán)威性的體現(xiàn)方式。2. 資產(chǎn)安全管控流程管控流程是管理制度的重要組成部分和實現(xiàn)形式，將人、各相關(guān)部門、資產(chǎn)本身、業(yè)務(wù)等方面均納入其中，覆蓋IT資產(chǎn)誕生到下線各個環(huán)節(jié)，將各個階段風險性和脆弱性將至最低。對于IT資產(chǎn)而言，尤其是風險性高的主機和應(yīng)用類資產(chǎn)，管控流程需要以重要的節(jié)點為分界，針對不同階段實行不同的管控流程。針對應(yīng)用系統(tǒng)來說，以系統(tǒng)上線作為分界點，上線前的開發(fā)過程需要在產(chǎn)品設(shè)計、代碼實現(xiàn)、軟件測試、預(yù)上線等各個階段進行安全管控， 在管控流程中設(shè)置安全閾值，當整體或各個階段安全要求達到要求才允許上線。該方式通過流程管控的方式，既能夠?qū)崿F(xiàn)安全前置，還確保了上線資產(chǎn)的自身

7、安全性。針對上線后的應(yīng)用系統(tǒng)資產(chǎn)進行常態(tài)化的監(jiān)測，對資產(chǎn)的狀態(tài)進行監(jiān)測的同時，也對其安全風險（漏洞、基線、端口等）進行檢測和預(yù)警。針對主機層面，可針對第三方或內(nèi)部部門設(shè)置管控流程，對上線前的主機各個維度進行安全性檢測，例如操作系統(tǒng)漏洞、弱口令等，避免將風險帶入內(nèi)部，也能夠提前明確各方責任。3. 產(chǎn)品工具支撐產(chǎn)品工具的選擇非常重要，是做好IT資產(chǎn)安全管理的前提和基礎(chǔ)。在目前IT資產(chǎn)的現(xiàn)實情況下，沒有合適可靠的產(chǎn)品工具輸出安全能力和技術(shù)，再好的資產(chǎn)管理制度和管控流程都是紙上談兵，沒有真正的安全建設(shè)可言。總體而言，產(chǎn)品工具應(yīng)具備以下特點：基于攻擊視角的技術(shù)思路知己知彼，百戰(zhàn)不殆。站在黑客和攻擊視角去

8、思考資產(chǎn)安全如何建設(shè)，能夠避免安全死角的存在，有效應(yīng)對各層次的攻擊威脅。例如在資產(chǎn)管理過程中，通過安全工具內(nèi)置的設(shè)備指紋模型，自動在環(huán)境中發(fā)現(xiàn)影子資產(chǎn)的存在，能夠及時進行風險加固，納入日常安全管理，有效解決了因建設(shè)周期過長或人為遺忘等原因造成的內(nèi)部風險資產(chǎn)安全管理部到位的情況。反過來，資產(chǎn)指紋模型具備自我更新能力，又提高了指紋模型的豐富度，最終轉(zhuǎn)化為后續(xù)的安全能力。在安全漏洞層面，盡可能采用模擬人為攻擊的方式進行發(fā)現(xiàn)和驗證，極大提高準確率，抵御黑客攻擊威脅。在核心IT資產(chǎn)層面，可以通過偽裝出帶有安全漏洞的端口服務(wù)的方式，采用主動欺騙防御技術(shù)，將高端黑客攻擊流量引誘至高交互蜜網(wǎng)進行監(jiān)控和分析，隔

9、離攻擊，保護真實IT資產(chǎn)的同時，及時預(yù)警。具備資產(chǎn)全生命周期安全管理能力資產(chǎn)自身的脆弱性是易遭受安全威脅的重要原因，應(yīng)用系統(tǒng)類資產(chǎn)尤其飽受安全漏洞之苦。所以利用安全產(chǎn)品和能力在資產(chǎn)的開發(fā)過程、上線運行等階段進行介入，將安全因素融入資產(chǎn)全生命周期中，能夠降低后續(xù)一系列安全問題的潛在風險。軟件開發(fā)過程安全 (SDL)在設(shè)計、代碼實現(xiàn)、系統(tǒng)測試階段依托威脅模型輸出、自動化代碼安全檢測工具、自動化交互式應(yīng)用安全檢測工具將資產(chǎn)的安全漏洞在各自階段及時發(fā)現(xiàn)處置，不僅能夠檢測出軟件系統(tǒng)的結(jié)構(gòu)性安全漏洞，也使資產(chǎn)上線前就具備極強的健壯性。資產(chǎn)運行常態(tài)化安全監(jiān)測利用工具對已上線的各類IT資產(chǎn)運營狀態(tài)和安全風險進

10、行監(jiān)測，能夠?qū)Y產(chǎn)的存活性、上下線、安全漏洞、基線、資產(chǎn)暴露面進行實時監(jiān)測，為安全部門提供了對所有資產(chǎn)的可視化監(jiān)管能力，更重要的是，對于采購商業(yè)工具的，安全廠商能夠針對業(yè)內(nèi)爆發(fā)出的1day漏洞及時提供插件檢測支持，及時修復(fù)漏洞。較高的IT架構(gòu)適應(yīng)性在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)和云架構(gòu)并行的時代，安全產(chǎn)品能否適應(yīng)資產(chǎn)所在的網(wǎng)絡(luò)架構(gòu)類型，也成為影響安全效果的重要因素。例如對于云平臺資產(chǎn)安全，主機和應(yīng)用系統(tǒng)分散在各個VPC內(nèi)，無法像傳統(tǒng)網(wǎng)絡(luò)一樣進行安全產(chǎn)品部署，在成本和統(tǒng)一運維層面考慮，不可能在每個VPC內(nèi)部署資產(chǎn)安全管理系統(tǒng)，這就要求安全產(chǎn)品具備靈活的模塊拆分和聯(lián)動能力?？蓪⒉杉驋呙枘K部署在各VPC內(nèi)，實現(xiàn)資產(chǎn)各維度信息的采集，依靠統(tǒng)一的管理端進行資產(chǎn)安全運維。在云架構(gòu)和傳統(tǒng)網(wǎng)絡(luò)架構(gòu)共存的情況下，同樣可采用該方式進行混合架構(gòu)下的資產(chǎn)統(tǒng)一安全管理。VPC私網(wǎng)資產(chǎn)發(fā)現(xiàn)與漏洞監(jiān)測安全產(chǎn)品與業(yè)務(wù)良好的匹配度安全也是一種服務(wù)，安全產(chǎn)品細節(jié)無法與業(yè)務(wù)進行良好的匹配，反而影響正常業(yè)務(wù)，也是資產(chǎn)安全建設(shè)不順暢的重要原因。這就要求安全產(chǎn)品在保證安全效果的前提下，盡可能的采用非侵入式的方式。例如在軟件系統(tǒng)開發(fā)過程中的軟件測試階段，將測試流量復(fù)制鏡像后轉(zhuǎn)化為安全測試流量，對軟件系統(tǒng)進行安全測試，既不影響軟件開發(fā)測試進程，也實現(xiàn)了資產(chǎn)安全檢測工作。針對業(yè)務(wù)形態(tài)變化快，應(yīng)用系統(tǒng)更新頻繁的情況，