做好網(wǎng)絡安全必須要做的一步工作
2023年03月06日
前言
網(wǎng)絡安全建設的實質是對風險的管理�,古人云:知己知彼百戰(zhàn)不殆����。所謂知己,就是要了解自己的資產(chǎn)以及這些資產(chǎn)的脆弱性�����,知彼就是了解外部威脅及威脅所使用的手段���。
要做到知己����,首先就要對自身的資產(chǎn)進行梳理�。今天,我們就來聊一聊資產(chǎn)梳理的話題��。
1��、為什么要做資產(chǎn)梳理����?(WHY)
一、安全體系建設的需要。
網(wǎng)絡安全(數(shù)據(jù)安全)建設的實質是對風險的管理�,風險管理的三個要素是資產(chǎn)、威脅和脆弱性���。這三項的基礎是資產(chǎn)管理���。
隨著客戶業(yè)務的逐漸增多,面向互聯(lián)網(wǎng)的系統(tǒng)暴露的信息也就越多�����,如端口�����、后臺管理系統(tǒng)����、與外單位互聯(lián)的網(wǎng)絡路徑等信息,而這這些信息就越容易被攻擊者盯上�。
很多單位在進行安全體系建設時,往往對重要業(yè)務系統(tǒng)進行較好的防護���,對于一些邊緣業(yè)務甚至廢棄業(yè)務沒有做好及時處理����,而這些往往成為攻擊者攻擊的對象。
通過對大多數(shù)被攻擊事件的分析��,大多數(shù)攻擊都是因為客戶對自身資產(chǎn)不清晰所致����,所以需要對單位機構資產(chǎn)進行梳理�,通過資產(chǎn)梳理,可以確定主機漏洞�、弱口令掃描、web應用漏洞���、基線配置的目標����,排查無備案�����、無管理����、無防護的信息資產(chǎn)�����,收集信息資產(chǎn)開發(fā)端口服務����,作為關閉非必要端口和加強端口訪問策略提供依據(jù)���,整理重點資產(chǎn)����,作為有限防護資源分配的參考�����。
資產(chǎn)梳理是進行安全運維與風險評估的基礎�����,也是進行安全體系建設的依據(jù)�。如果家底不清、資產(chǎn)不明����,很容易會被黑客利用和攻擊����。
二���、合規(guī)性的需要�����。
在《數(shù)據(jù)安全法》和等保中,也都有明確的規(guī)定�。
如等保三級管理部分(7.1.10.2)明確規(guī)定:應編制并保存與保護對象相關的資產(chǎn)清單,包括資產(chǎn)責任部門��、重要程度和所處位置等內(nèi)容���。
《數(shù)據(jù)安全法》第二十一條中也要求��,“各地區(qū)��、各部門應當按照數(shù)據(jù)分類分級保護制度���,確定本地區(qū)、本部門以及相關行業(yè)�����、領域的重要數(shù)據(jù)具體目錄,對列入目錄的數(shù)據(jù)進行重點保護�。”
在數(shù)據(jù)安全時代�����,對數(shù)據(jù)進行分類分級的前提就是要先進行資產(chǎn)梳理����。
2、梳理什么�����?(WHAT)
知己知彼百戰(zhàn)不殆��。所謂知己���,就是要了解自己的資產(chǎn)以及這些資產(chǎn)的脆弱性�����,知彼就是了解外部威脅及威脅所使用的手段�����。知己的前提就是要對資產(chǎn)進行梳理�,了解你要保護的對象,以及對象自身存在的安全漏洞��,才能有針對性的做好預防措施���。攻擊者所想要利用的信息���,單位機構內(nèi)部一定要自己知道,這樣才能做好及時加固防護��,因此根據(jù)攻擊者現(xiàn)主流攻擊的目標及目標相關信息確定梳理的內(nèi)容有如下:
1���、根據(jù)需要可選擇不同角度對資產(chǎn)進行資產(chǎn)分類和分級,摸清楚哪些是重要資產(chǎn)�。
2、收集明確歸口的信息系統(tǒng)資產(chǎn)信息:(數(shù)據(jù)庫���,中間件����、群件系統(tǒng)、各商業(yè)軟件平臺�、后臺地址、使用框架��、敏感目錄等)�����。
3��、 統(tǒng)一排查發(fā)現(xiàn)未確定歸口部門的資產(chǎn)與廢棄資產(chǎn)�����,確定其歸口管理部門����。
4、 梳理資產(chǎn)對應的開放端口�����、服務����,并明確其用途��。
5�����、梳理業(yè)務數(shù)據(jù)流向���,理清楚業(yè)務之間的邏輯關系和數(shù)據(jù)流轉時與其他資產(chǎn)(硬件、軟件�����、網(wǎng)絡等)之間的關聯(lián)性�。
6、 梳理易受攻擊應用系統(tǒng)目標(重點資產(chǎn))�。
7、 梳理存儲敏感數(shù)據(jù)(用戶數(shù)據(jù)�、源代碼數(shù)據(jù))的資產(chǎn)�。
8、 梳理現(xiàn)在安全防護資源�����。
3��、怎么做梳理?(HOW)
資產(chǎn)梳理總體流程:
1�、人工確認資產(chǎn)列表或通過資產(chǎn)管理工具導出資產(chǎn)信息。
2�、資產(chǎn)信息核對,補充和更新如端口��、服務����、補丁版本、更新時間��、責任人����、重要性等,對未知資產(chǎn)確認歸口��,完善全部信息����。
3、對未知資產(chǎn)進行歸口����,更新和確認歸口�,輸出最新資產(chǎn)列表���。
4���、對廢棄資產(chǎn)進行排查,消除安全隱患���。
4��、輸出物
資產(chǎn)列表是資產(chǎn)梳理的最終輸出�,為后續(xù)漏洞掃描�、基線配置等提供基礎信息。資產(chǎn)包括機房設備���、網(wǎng)絡設備��、應用服務器��、安全設備、虛擬化平臺�����、中間件、業(yè)務系統(tǒng)�、數(shù)據(jù)資產(chǎn)等,根據(jù)不同的視角�,可以建立不同角度的資產(chǎn)表。
示例:(包括但不限于以下內(nèi)容)
硬件資產(chǎn)信息:設備名稱��、廠家(維保廠家)����、IP地址、MAC地址�����、物理商品信息���、拓撲結構����、硬件版本號��、安全策略�����、特征庫升級記錄、巡檢記錄��、維修記錄��、機房位置�、責任人、承載業(yè)務���、重要性賦值(CIA)等�����。
軟件資產(chǎn)信息:業(yè)務系統(tǒng)名稱��、開發(fā)單位名稱���、安全定級信息、操作系統(tǒng)類型及版本���、數(shù)據(jù)庫類型及類型���、網(wǎng)絡安全管理員����、數(shù)據(jù)安全管理員�����、賬號及權限信息�、業(yè)務關聯(lián)性���、重要性賦值(CIA)����、使用端口信息等��。
數(shù)據(jù)資產(chǎn)信息:數(shù)據(jù)收集來源�、存儲位置、數(shù)據(jù)類別���、公開范圍�、賬號及權限信息�、數(shù)據(jù)使用者角色、是否個人信息�、是否重要數(shù)據(jù)或涉密數(shù)據(jù)�、重要性賦值(CIA)等����。
5、總結
通過資產(chǎn)梳理��,摸清單位機構自己的資產(chǎn)家底����,了解自身基本情況,初步識別存在的風險����,減少單位機構網(wǎng)絡被攻擊面,為后續(xù)進一步自查提供基本支撐���。
在梳理過程中�,要確保梳理無遺漏����,處理好無歸口資產(chǎn)和廢棄資產(chǎn),標記重點防護資產(chǎn)�,為后續(xù)防護決策等提供基礎信息。
來源:大兵說安全
