做好網(wǎng)絡安全必須要做的一步工作
2023年03月06日
前言
網(wǎng)絡安全建設(shè)的實質(zhì)是對風險的管理,古人云:知己知彼百戰(zhàn)不殆���。所謂知己,就是要了解自己的資產(chǎn)以及這些資產(chǎn)的脆弱性����,知彼就是了解外部威脅及威脅所使用的手段。
要做到知己��,首先就要對自身的資產(chǎn)進行梳理�。今天,我們就來聊一聊資產(chǎn)梳理的話題�����。
1����、為什么要做資產(chǎn)梳理?(WHY)
一�����、安全體系建設(shè)的需要。
網(wǎng)絡安全(數(shù)據(jù)安全)建設(shè)的實質(zhì)是對風險的管理����,風險管理的三個要素是資產(chǎn)、威脅和脆弱性���。這三項的基礎(chǔ)是資產(chǎn)管理�����。
隨著客戶業(yè)務的逐漸增多��,面向互聯(lián)網(wǎng)的系統(tǒng)暴露的信息也就越多�����,如端口��、后臺管理系統(tǒng)����、與外單位互聯(lián)的網(wǎng)絡路徑等信息����,而這這些信息就越容易被攻擊者盯上�。
很多單位在進行安全體系建設(shè)時����,往往對重要業(yè)務系統(tǒng)進行較好的防護,對于一些邊緣業(yè)務甚至廢棄業(yè)務沒有做好及時處理����,而這些往往成為攻擊者攻擊的對象�。
通過對大多數(shù)被攻擊事件的分析,大多數(shù)攻擊都是因為客戶對自身資產(chǎn)不清晰所致�,所以需要對單位機構(gòu)資產(chǎn)進行梳理,通過資產(chǎn)梳理�����,可以確定主機漏洞�、弱口令掃描、web應用漏洞����、基線配置的目標,排查無備案���、無管理���、無防護的信息資產(chǎn)����,收集信息資產(chǎn)開發(fā)端口服務�,作為關(guān)閉非必要端口和加強端口訪問策略提供依據(jù),整理重點資產(chǎn)�����,作為有限防護資源分配的參考����。
資產(chǎn)梳理是進行安全運維與風險評估的基礎(chǔ),也是進行安全體系建設(shè)的依據(jù)�。如果家底不清、資產(chǎn)不明���,很容易會被黑客利用和攻擊�����。
二�、合規(guī)性的需要。
在《數(shù)據(jù)安全法》和等保中�,也都有明確的規(guī)定。
如等保三級管理部分(7.1.10.2)明確規(guī)定:應編制并保存與保護對象相關(guān)的資產(chǎn)清單��,包括資產(chǎn)責任部門�����、重要程度和所處位置等內(nèi)容��。
《數(shù)據(jù)安全法》第二十一條中也要求�����,“各地區(qū)��、各部門應當按照數(shù)據(jù)分類分級保護制度�,確定本地區(qū)���、本部門以及相關(guān)行業(yè)����、領(lǐng)域的重要數(shù)據(jù)具體目錄,對列入目錄的數(shù)據(jù)進行重點保護���?!?/span>
在數(shù)據(jù)安全時代��,對數(shù)據(jù)進行分類分級的前提就是要先進行資產(chǎn)梳理�。
2、梳理什么�����?(WHAT)
知己知彼百戰(zhàn)不殆���。所謂知己���,就是要了解自己的資產(chǎn)以及這些資產(chǎn)的脆弱性,知彼就是了解外部威脅及威脅所使用的手段��。知己的前提就是要對資產(chǎn)進行梳理�����,了解你要保護的對象��,以及對象自身存在的安全漏洞,才能有針對性的做好預防措施����。攻擊者所想要利用的信息,單位機構(gòu)內(nèi)部一定要自己知道����,這樣才能做好及時加固防護,因此根據(jù)攻擊者現(xiàn)主流攻擊的目標及目標相關(guān)信息確定梳理的內(nèi)容有如下:
1�、根據(jù)需要可選擇不同角度對資產(chǎn)進行資產(chǎn)分類和分級,摸清楚哪些是重要資產(chǎn)���。
2���、收集明確歸口的信息系統(tǒng)資產(chǎn)信息:(數(shù)據(jù)庫,中間件�、群件系統(tǒng)��、各商業(yè)軟件平臺�、后臺地址、使用框架�、敏感目錄等)。
3����、 統(tǒng)一排查發(fā)現(xiàn)未確定歸口部門的資產(chǎn)與廢棄資產(chǎn)�����,確定其歸口管理部門���。
4、 梳理資產(chǎn)對應的開放端口�����、服務�,并明確其用途。
5�、梳理業(yè)務數(shù)據(jù)流向,理清楚業(yè)務之間的邏輯關(guān)系和數(shù)據(jù)流轉(zhuǎn)時與其他資產(chǎn)(硬件����、軟件、網(wǎng)絡等)之間的關(guān)聯(lián)性�。
6、 梳理易受攻擊應用系統(tǒng)目標(重點資產(chǎn))���。
7�、 梳理存儲敏感數(shù)據(jù)(用戶數(shù)據(jù)、源代碼數(shù)據(jù))的資產(chǎn)���。
8�、 梳理現(xiàn)在安全防護資源����。
3、怎么做梳理�?(HOW)
資產(chǎn)梳理總體流程:
1、人工確認資產(chǎn)列表或通過資產(chǎn)管理工具導出資產(chǎn)信息�。
2、資產(chǎn)信息核對��,補充和更新如端口�����、服務��、補丁版本�����、更新時間���、責任人���、重要性等,對未知資產(chǎn)確認歸口���,完善全部信息�����。
3���、對未知資產(chǎn)進行歸口,更新和確認歸口����,輸出最新資產(chǎn)列表。
4���、對廢棄資產(chǎn)進行排查��,消除安全隱患�����。
4�、輸出物
資產(chǎn)列表是資產(chǎn)梳理的最終輸出,為后續(xù)漏洞掃描�、基線配置等提供基礎(chǔ)信息。資產(chǎn)包括機房設(shè)備���、網(wǎng)絡設(shè)備�����、應用服務器���、安全設(shè)備、虛擬化平臺��、中間件����、業(yè)務系統(tǒng)、數(shù)據(jù)資產(chǎn)等����,根據(jù)不同的視角,可以建立不同角度的資產(chǎn)表。
示例:(包括但不限于以下內(nèi)容)
硬件資產(chǎn)信息:設(shè)備名稱����、廠家(維保廠家)�����、IP地址����、MAC地址、物理商品信息�、拓撲結(jié)構(gòu)、硬件版本號�����、安全策略�����、特征庫升級記錄����、巡檢記錄、維修記錄��、機房位置、責任人�����、承載業(yè)務�����、重要性賦值(CIA)等�。
軟件資產(chǎn)信息:業(yè)務系統(tǒng)名稱、開發(fā)單位名稱�����、安全定級信息�����、操作系統(tǒng)類型及版本�、數(shù)據(jù)庫類型及類型、網(wǎng)絡安全管理員���、數(shù)據(jù)安全管理員�����、賬號及權(quán)限信息����、業(yè)務關(guān)聯(lián)性�����、重要性賦值(CIA)�、使用端口信息等。
數(shù)據(jù)資產(chǎn)信息:數(shù)據(jù)收集來源�����、存儲位置���、數(shù)據(jù)類別���、公開范圍、賬號及權(quán)限信息��、數(shù)據(jù)使用者角色���、是否個人信息�、是否重要數(shù)據(jù)或涉密數(shù)據(jù)、重要性賦值(CIA)等����。
5、總結(jié)
通過資產(chǎn)梳理�����,摸清單位機構(gòu)自己的資產(chǎn)家底����,了解自身基本情況,初步識別存在的風險���,減少單位機構(gòu)網(wǎng)絡被攻擊面�,為后續(xù)進一步自查提供基本支撐�����。
在梳理過程中���,要確保梳理無遺漏��,處理好無歸口資產(chǎn)和廢棄資產(chǎn)��,標記重點防護資產(chǎn)����,為后續(xù)防護決策等提供基礎(chǔ)信息。
來源:大兵說安全
