企业安全建设之资产管理与运营

前言

现在的网络环境，威胁跟隐患越来越多，不是今天哪个框架又有远程代码执行漏洞了？明天哪个外网服务器又开放新的高危端口了？哪个系统又被黑了？如此频繁的应急事件出现，赶紧手忙脚乱的找系统负责人，找了大半天没找到，心急如焚，这时候就想着，要是有一份详细准确的资产管理表就好了，那样该省多少事，听说CMDB建设都一两年了，没看到影子，等到CMDB上线，估计黄花菜都凉了，好吧，求人不如求己，还是自己动手得了。

一、目的

我们做资产管理都是从需求出发，因此资产管理的目的就以下两点：

事中的入侵检测

事后的审计与事件排查

二、资产整理

既然准备做资产管理，那第一步肯定需要目前企业资产的详细情况，因此我们可以从以下几个方面开始准备：

 1)梳理资产类型； 
 2)与各类资产对接人，确认所需字段，统一各类资产表； 
 3)收集已有资产数据； 
 4)录入资产管理系统； 
 5)确认各类资产变更流程； 
 6)优化变更流程，实现自动化变更资产，保持资产实时更新。 

2.1 资产类型

目前我们主要对这几类资产进行管理，包括IP网段、域名、内网服务器资产、外网服务器资产、应用系统资产、终端资产，每类资产都可以从字段内容确认、数据来源、更新机制、后期优化几个方面考虑。

2.2资产字段

2.3 资产的来源

每一种资产在公司的内部流程中都会有专门的人员管理，那我们可以与对应的负责人沟通，采用统一的资产管理系统，确认更新机制，这样才能保证资产能实时更新，例如，我们将资产管理系统中新建域名的页面嵌入域名申请流程中，那样当有人员申请域名时，必须填写对应的信息后，流程才能通过，这可以要求域名管理人进行控制与审核，域名下线也可以一样进行处理。

三、资产监测

已知资产梳理完成后，接下来肯定需要对未知资产进行管理，但如何发现未知资产呢？如果管理未知资产呢？这是企业资产管理的难点，也是重点，从过去的经历来看，因未知资产导致的安全事件并不少见，也没少被领导请去喝茶，为尽量减少跟规避此种情况出现，可以从以下几个方面考虑。

3.1 资产发现

资产发现需要对一定范围内的主机或应用系统指纹识别，包括操作系统版本、开放端口、提供的服务、服务版本等指纹进行识别。

资产发现可以采用主、被动资产发现方式相结合，主动探测主要用于对未知网络下的资产探测，包括网络主机探测、端口探测扫描，硬件特性及版本信息检测；被动探测主要是指采集目标网络的流量,对流量中应用层HTTP,FTP,SNMP等协议分析,从而实现对网络资产信息的被动探测，用于持续性的监听已知网络下的未发现资产，并通过信息补全和深度扫描等方式完成资产属性的补全。

实现方式：Masscan+Nmap

Masscan是大网段全端口扫描神器，就扫描速度来说应该是现有端口扫描器中最快的，Nmap是基于响应协议栈指纹的网络资产探测工具的典型代表,Masscan进行第一遍的快速扫描，然后在进行Nmap(系统指纹信息是最全的)确认服务，实现快速全端口扫描。

3.2 扫描结果处理

四、资产运营

资产最重要的还是全面性、准确性、实时性的问题，如果这三点达不到，那应急处置的时候会让人头疼，当然这也不是一蹴而就的问题，需要逐步完善才行，我们可以从以下几个方面去考虑：

 1）统一每类资产的字段，避免各部门使用时存在纰漏； 
 2）建议采用资产管理系统的方式进行存储与查询，有条件的单位可以创建CMDB； 
 3）嵌套入资产的变更流程中，包括新资产申请，下线，更换等方面，从源头控制； 
 4）采用自动化的脚本或者程序去执行变更操作，人工审核或机器智能判断，保证实时性。 

这是在CMDB建设好之前，我们采用的临时解决方式，还有很多地方需要完善的跟优化的，但总体保证应急响应资产准确率在90%以上，相比之前的excle表格维护，各资产分散不集中，数据不完整，已经提升了好几个档次，也为接下来的CMDB建设提供一定的数据与流程基础，希望后面CMDB不会让人失望，感兴趣的小伙伴可以一起交流，分享。

*本文作者：jary123，转载请注明来自FreeBuf.COM