实战要求下,如何做好资产安全信息管理?

简介: “摸清家底,认清风险”做好资产管理是安全运营的第一步。本文一起来看一下资产管理的重要性、难点痛点是什么,如何做好资产管理,认清风险。

“摸清家底,认清风险”做好资产管理是安全运营的第一步。本文一起来看一下资产管理的重要性、难点痛点是什么,如何做好资产管理,认清风险。

一、资产安全信息管理的重要性

安全风险管理的三要素分别是资产、威胁和脆弱性,脆弱性的存在将会导致风险,而威胁主体利用脆弱性产生风险。网络攻击主要利用了系统的脆弱性。由于网络管理对象(资产)自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险。什么是网络安全资产参见《网络安全之资产及攻击面管理

首先,网络安全资产管理有助于降低网络风险。通过对公司网络资产进行识别和分类,包括硬件设备、软件系统、数据等,可以更好地进行后续的安全措施和决策,从而最大程度地减少网络风险和避免潜在的安全漏洞。这对于保护企业的核心业务和数据安全至关重要,有助于防止数据泄露、非法访问和业务中断等风险事件的发生。

其次,网络安全资产管理是高质量安全管理与运营的基础。良好的资产管理能够有效支撑互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全事件响应与处置等日常安全运营与攻防对抗中的关键活动。这不仅可以提高网络安全的防御能力,还可以为企业的日常安全管理和运营工作带来极大的便利。

此外,网络安全资产管理也有助于满足法规和合规要求。随着网络安全法规的不断完善和监管力度的加强,企业需要确保其网络资产符合相关法规和政策要求,避免违法违规行为的发生。通过网络安全资产管理,企业可以系统地管理网络资产,确保合规性,降低因违反法规而带来的潜在风险。

二、资产安全信息管理的痛点

随着企业数字化转型进程的不断加速,IT系统安全资产数量增长迅猛。与此同时,云计算、大数据等各种新技术应用也使得安全资产类型日益复杂多样。传统的安全资产管理方式难以适应新环境要求,主要面临如下问题:

  1. 安全资产覆盖面广,梳理工作量巨大
    安全资产管理的对象包括与IT系统运行相关的主机/虚机、容器、中间件、数据库、大数据组件、WEB应用、WEB框架、网络设备、安全设备等其它应用软件。安全资产分布范围广、种类繁多、属性各异、关系复杂,面对这么多的安全资产对象,传统的填表梳理方式需要投入大量的人力,而且效果极差。
  2. 台账不清晰,无法为安全资产风险治理提供有效输入
    人工的梳理方式同时也带来大量的安全资产遗漏、属性缺失、资产归属关系不清、安全资产数据碎片化严重等问题,很难形成完整的安全资产台账与暴露面台账,无法为安全资产风险治理与防护提供支撑。
  3. 安全资产更新不及时,无法对变更进行及时监控与预警
    缺乏动态的资产更新机制,不能及时发现安全资产的变更情况,例如互联网暴露面端口的开通、恶意应用软件的安装、高危WEB插件的应用等,无法及时对安全资产进行风险预警与防范。
  4. 缺乏安全资产运营的机制和流程保障,安全资产管理成效差
    没有建立规范的安全资产运营机制与流程,安全资产管理工作存在着职责不清、管理制度缺乏、安全资产管理工作无法有条不紊地进行等问题,最终导致安全资产纳管随意、安全资产管理成效差,安全资产风险处置无法有的放矢。

三、如何做好资产安全信息管理

以下梳理了资产安全信息管理的运营管理事项
资产安全信息管理事项

1、提升资产安全信息自动化、集约化管理能力,做到资产全过程管理

管理措施:
1)集约化统一纳管
随着数字化应用的深入,资产分布在多个数据中心、私有云、公有云、混合云、边缘计算和物联网等各种基础设施环境中,照成了资产信息割裂碎片化,给资产的统一管理带来了困难。为了看到全局的资产信息,有必要实现资产安全信息的自动化、集约化管理,将资产安全管理纳入云主虚机分配、IP 地址申请等流程,打通资产安全管理平台与云管平台、各专业网管系统等 平台接口,将资产安全信息通过接口采集至资产安全管理平台, 确保云网资产安全信息自动化、集约化的统一纳管。
2)资产信息全过程管理
资产的全生命周期覆盖资产上线、资产运行、资产下线,在这过程中要对资产进行定级备案、对资产的台账进行维护、对资产进行风险评估、对资产进行定期的清查。参考《安全运营之资产安全信息管理》。
在资产上线阶段,组织开展Agent安装、资产信息同步、资产安全管理平台信息确认,提升新增资产入网的规范性;在资产入网运营阶段,结合网络部门IP地址分配清单,通过网络空间测绘、IP扫描、流量监测等技术定期开展资产清查,对发现的未知IP地址开展溯源、认领等资产核查工作;在资产下线退网阶段,及时清理资产安全管理平台基本信息、IP地址备案、云管平台等资产分配管理系统数据。
运营指标:
关键的运营指标包括:纳管的资产类型、各类型资产数、Agent的安装率、资产信息准确率、安全资产脱管率(Agent被卸载或失效)、“三无”资产数等。

2、做好资产的安全风险识别

管理措施:
对本单位管理的资产和安全事件进行关联、分析、展示和管理;
对本单位管理的资产和脆弱性进行关联、分析、展示和管理;
按期开展风险评估和符合性评测,使用定量或定性的风险评估模型,结合资产价值、威胁可能性和脆弱性暴露程度进行计算风险等级,对本单位资产风险情况进行动态管理。
运营指标:
关键的运营指标包括:资产漏洞数、漏洞影响资产数、资产被攻击数、资产被攻击趋势、资产风险值等。

3、做好互联网暴露面的测绘与管空

管理措施:
1)开通审批,应按“非必须不开通”、“先审批后开通”原则管控互联网暴露资产。开通前应由需求单位开展必要性评估,安全运营维护单位完成系统安全加固和问题整改,安全运营支撑单位开展风险评估,安全运营归口管理单位审核。
2)统一管理,对互联网暴露面资产数据进行统一管理,应对互联网暴露资产进行清单制管理,安全运营支撑单位应至少每月开展一次暴露资产探测和自有网站备案情况自查,安全运营维护单位及时整改相关问题。对未经审批上线的互联网暴露资产责任到人。
3)定期测绘,基于本单位企业指纹和暴露面地址段定期进行互联网暴露面测绘。安全运营支撑单位至少每月开展一次互联网暴露资产安全风险评估,包含安全防护策略有效性核实、全 IP 和端口漏洞扫描、渗透测试和基线配置合规率核查等。系统发生代码更新或版本升级时,安全运营维护单位应重新开展安全风险评估。
4)下线更新,互联网暴露资产下线阶段,系统维护单位应及时发起相关资源的下线申请,在互联网暴露资产关停后 15 日内完成资产安全管理平台的信息更新。
运营指标:
关键的运营指标包括:互联网暴露的系统数、互联网暴露面审批数、互联网暴露的URL数、互联网暴露的端口数、互联网暴露的APP、互联网暴露面趋势等。

4、做好资产安全信息的动态稽核管理

管理措施:
1)对内网资产资源自动化测绘,对未纳管资产的扫描和识别,应至少每季度开展一次资产探测,识别并推进“三无”资产下线。
2)定期对资产数据进行稽核,确保定级备案资产信息和资产安全管理平台、4A 系统资产信息一致。
运营指标:
关键的运营指标包括:“三无”资产数、未纳管资产数、资产信息准确率等。


博客地址:http://xiejava.ishareread.com/

目录
相关文章
|
安全 Java API
解决 Swagger API 未授权访问漏洞:完善分析与解决方案
Swagger 是一个用于设计、构建、文档化和使用 RESTful 风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,未经授权的访问可能会导致安全漏洞。本文将介绍如何解决 Swagger API 未授权访问漏洞问题。
|
开发框架 运维 供应链
如何进行资产梳理(上)
本文介绍了资产梳理的重要性,特别是对于蓝队成员在护网行动中的准备工作。资产梳理包括安全防护设备、对外开放服务项目和项目外包业务流程的详细信息整理,如设备型号、版本、责任人等。此外,还提到了两种资产梳理方式:一是关注业务资源、设备资产和第三方服务信息;二是识别和管理账号权限、互联网风险、后台目录风险、旁站风险、C段风险和端口风险。文章强调了暴露面收敛的重要性,如关闭非必要服务和端口,以降低安全风险。最后,作者总结了资产梳理的步骤,认为这与Web信息收集类似,是蓝队防御的关键环节。
1771 6
|
7月前
|
人工智能 安全 数据库
AiCodeAudit-基于Ai大模型的自动代码审计工具
本文介绍了基于OpenAI大模型的自动化代码安全审计工具AiCodeAudit,通过图结构构建项目依赖关系,提高代码审计准确性。文章涵盖概要、整体架构流程、技术名词解释及效果演示,详细说明了工具的工作原理和使用方法。未来,AI大模型有望成为代码审计的重要工具,助力软件安全。项目地址:[GitHub](https://github.com/xy200303/AiCodeAudit)。
|
安全 Linux 数据安全/隐私保护
Linux 密码复杂度设置pam_pwquality、pam_passwdqc(centos7)
1、Linux对应的密码策略模块有:pam_passwdqc 和 pam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.
6808 0
|
10月前
|
并行计算 前端开发 物联网
全网首发!真·从0到1!万字长文带你入门Qwen2.5-Coder——介绍、体验、本地部署及简单微调
2024年11月12日,阿里云通义大模型团队正式开源通义千问代码模型全系列,包括6款Qwen2.5-Coder模型,每个规模包含Base和Instruct两个版本。其中32B尺寸的旗舰代码模型在多项基准评测中取得开源最佳成绩,成为全球最强开源代码模型,多项关键能力超越GPT-4o。Qwen2.5-Coder具备强大、多样和实用等优点,通过持续训练,结合源代码、文本代码混合数据及合成数据,显著提升了代码生成、推理和修复等核心任务的性能。此外,该模型还支持多种编程语言,并在人类偏好对齐方面表现出色。本文为周周的奇妙编程原创,阿里云社区首发,未经同意不得转载。
28362 18
|
11月前
|
网络协议 安全 生物认证
一文带你从了解到精通Nmap扫描器
一文带你从了解到精通Nmap扫描器
|
存储 机器学习/深度学习 人工智能
云端数字资产管理:构建高效数据生态
随着数字化进程的加速,云上数字资产管理已成为企业成功的关键因素之一。通过采用适当的云存储方案、实施严格的安全措施、建立高效的搜索和检索系统,企业可以充分利用数字资产的价值,推动业务发展。未来,随着人工智能、机器学习等技术的应用,云上数字资产管理将进一步提高效率和智能化水平,为企业创造更多价值。
|
运维 安全 Devops
什么是安全左移,如何实现安全左移
传统软件开发面临安全挑战,如意识缺失、代码漏洞、第三方组件风险、配置管理问题及应对新型攻击能力不足。为改善现状,需采取安全左移策略,将安全措施提前至开发早期,与SDL结合,确保安全贯穿SDLC始终。安全左移面临计划制定、责任转移、工具选择等挑战,需通过规划、培训和选用合适工具应对。DevSecOps模式进一步将安全融入DevOps,提升开发效率和软件安全性,实现开发、安全和运维的协同。SDL与DevSecOps相辅相成,前者注重安全过程,后者强调安全文化与自动化。
686 1
什么是安全左移,如何实现安全左移
|
数据采集 存储 监控
《数据资产管理实践》方法论梳理
《数据资产管理实践》方法论梳理
652 58
|
安全 网络安全 数据库
扫描神器:Nessus 保姆级教程(附步骤)
扫描神器:Nessus 保姆级教程(附破解步骤)