資產(chǎn)管理,看起來沒什么技術(shù)含量,是很多人不屑于從事的安全工作,又或者是某些人眼中大量開源軟件的堆砌。但其實(shí)國內(nèi)的網(wǎng)絡(luò)資產(chǎn)梳理工作早就如火如荼的開展起來了,作為網(wǎng)絡(luò)安全資產(chǎn)摸底、資產(chǎn)治理領(lǐng)域的一名老兵,接下來筆者將分幾篇文章和大家聊聊這幾年在網(wǎng)絡(luò)資產(chǎn)安全戰(zhàn)斗中踩過那些坑以及背后的心得體會。
網(wǎng)絡(luò)資產(chǎn)管理是網(wǎng)絡(luò)空間治理的基石
網(wǎng)絡(luò)空間作為繼陸、海、空、天之后的“第五疆域”,已成為當(dāng)前世界各國爭奪的戰(zhàn)略焦點(diǎn)。我國已經(jīng)成為網(wǎng)絡(luò)大國,智慧城市、數(shù)字中國、互聯(lián)網(wǎng)+等技術(shù)浪潮正在改造傳統(tǒng)的生產(chǎn)和生活模式,網(wǎng)絡(luò)安全也成為事關(guān)國家安全、國家發(fā)展和廣大人民群眾工作生活的重大戰(zhàn)略問題。
維護(hù)網(wǎng)絡(luò)安全,首先要知道風(fēng)險(xiǎn)在哪里,是什么樣的風(fēng)險(xiǎn),什么時(shí)候發(fā)生風(fēng)險(xiǎn)。工作重點(diǎn)是“摸清家底,認(rèn)清風(fēng)險(xiǎn),找出漏洞,通報(bào)結(jié)果,督促整改”。可見“摸清家底”,也就是通過各種技術(shù)手段實(shí)現(xiàn)網(wǎng)絡(luò)空間設(shè)備的描述和識別,是網(wǎng)絡(luò)安全工作的重中之重,是網(wǎng)絡(luò)空間安全治理的基石。(此觀點(diǎn)與本屆創(chuàng)新沙盒大賽冠軍Axonius公司“YouCan'tSecureWhatYouCan'tSee”的理念一致)
網(wǎng)絡(luò)空間中網(wǎng)絡(luò)數(shù)字資產(chǎn)的現(xiàn)狀
眾多網(wǎng)絡(luò)安全人員最為緊張的莫過于突發(fā)性的“黑客事件”,尤其是當(dāng)那些集中爆發(fā)且聲勢浩大的黑客攻擊發(fā)生時(shí),各家網(wǎng)絡(luò)安防人員無疑會高度戒備,嚴(yán)陣以待。通過對安全攻擊事件進(jìn)行持續(xù)的跟蹤和分析,盛邦安全發(fā)現(xiàn),從安全攻擊的目標(biāo)行業(yè)來看,在近三年發(fā)生的400多起攻擊事件中,教育行業(yè)占比達(dá)到55%,政府行業(yè)占43%。在剛過去的2018年,政府類占比14%,教育類占比19%,企業(yè)占比49%。針對教育行業(yè),盛邦安全選取了包括985/211院校、重點(diǎn)院校、普通院校、高職、普教5大類近百個(gè)教育機(jī)構(gòu)進(jìn)行調(diào)研,通過被動流量學(xué)習(xí)進(jìn)行Web資產(chǎn)梳理和數(shù)據(jù)分析。
數(shù)據(jù)顯示,已知系統(tǒng)資產(chǎn)數(shù)量占比資產(chǎn)總數(shù)分別為:
可見,即使是資產(chǎn)管理方面做得最好的211/985院校,已知資產(chǎn)數(shù)量也僅占所有資產(chǎn)的55%,仍然有45%的資產(chǎn)是未知的。進(jìn)一步研究發(fā)現(xiàn),這些未知資產(chǎn)的構(gòu)成主要為:
(1)高端口資產(chǎn)占10%(就是做了端口轉(zhuǎn)換的資產(chǎn)):高端口是防火墻或者部分實(shí)驗(yàn)室做了端口轉(zhuǎn)換的業(yè)務(wù)系統(tǒng)、網(wǎng)站等。
(2)業(yè)務(wù)系統(tǒng)占11%:這些業(yè)務(wù)系統(tǒng)由教學(xué)、教輔系統(tǒng)組成,部分使用域名訪問,部分沒有進(jìn)行備案登記。比如,常出問題的高校迎新管理系統(tǒng)、OA系統(tǒng)、就業(yè)管理系統(tǒng)、圖書館管理系統(tǒng)等等。
(3)網(wǎng)絡(luò)設(shè)備/網(wǎng)絡(luò)安全設(shè)備占3%:分別是機(jī)房管理系統(tǒng)、交換機(jī)、路由器、網(wǎng)絡(luò)防火墻、上網(wǎng)行為管理、流控設(shè)備、計(jì)費(fèi)系統(tǒng)等。
(4)中間件占2%:指安裝了中間件系統(tǒng),但是默認(rèn)頁面可以對外訪問的資產(chǎn)。這類默認(rèn)頁面常常會造成信息泄露,從而導(dǎo)致安全問題。
(5)疑似業(yè)務(wù)系統(tǒng)占10%:對這類系統(tǒng)分別訪問和確認(rèn),發(fā)現(xiàn)由打印機(jī)、攝像頭、電梯管理系統(tǒng)、門禁卡管理系統(tǒng)、大屏控制系統(tǒng)等物聯(lián)網(wǎng)設(shè)備組成。隨著高職院校、普教等機(jī)構(gòu)的數(shù)字化校園的不斷推廣,這部分占比極高。
基于對教育行業(yè)抽樣調(diào)研和統(tǒng)計(jì)數(shù)據(jù)可知,廣域網(wǎng)網(wǎng)絡(luò)資產(chǎn)不清造成的危害是極其嚴(yán)重,也是極其棘手的:要知道,目前安全管理和技術(shù)手段已經(jīng)層層疊加,但仍然還會有大量未知資產(chǎn)的存在,這不得不讓我們警惕。
盛邦安全經(jīng)過詳細(xì)的技術(shù)分析,認(rèn)為主要原因有:
1)業(yè)務(wù)多
業(yè)務(wù)部門眾多,導(dǎo)致需求不一致,記事本模式的資產(chǎn)管理方式不能及時(shí)跟進(jìn)系統(tǒng)變化。
2)新技術(shù)
云平臺、虛擬化的大量使用,數(shù)據(jù)中心變化成為常態(tài),沒有新的資產(chǎn)管理方式。
3)突發(fā)性
因?yàn)槟硞€(gè)活動而建立的系統(tǒng),當(dāng)活動結(jié)束后,系統(tǒng)沒有及時(shí)退運(yùn)。
4)管理員制度
當(dāng)管理員更替時(shí),交接不徹底,或者多次交接,導(dǎo)致系統(tǒng)變?yōu)榻┦到y(tǒng)。
解決以上問題的關(guān)鍵,最終還是要回歸到是否能夠做到對自身網(wǎng)絡(luò)資產(chǎn)“知根知底”,是否能夠真正做到可知、可控、可管,快速定位風(fēng)險(xiǎn),并將威脅消滅在萌芽之中。網(wǎng)絡(luò)資產(chǎn)識別是網(wǎng)絡(luò)空間治理的基石,只有先把這步走好了,才能談得上后續(xù)對網(wǎng)絡(luò)空間的治理。
資產(chǎn)治理系列將分幾篇文章陸續(xù)分享,接下來還將為大家?guī)砭W(wǎng)絡(luò)資產(chǎn)管理的方法論以及資產(chǎn)管理如何與業(yè)務(wù)相結(jié)合的深度解讀。敬請期待。
