网络安全之资产及攻击面管理

news2025/1/9 1:51:37

“摸清家底,认清风险”做好资产管理是安全运营的第一步。那么什么是资产,资产管理的难点痛点是什么,如何做好资产管理,认清风险。带着这些问题我们来认识一下资产及攻击面管理。

一、资产的定义

《GBT 20984-2007信息安全技术信息安全风险评估规范》中,对于资产的定义为“对组织有价值的信息或资源,是安全策略保护的对象”。

对于网络空间资产来说,这里的资产是指赛博空间中某机构所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产。具体对象包括但不限于硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、机构公众号、小程序、App、API、源代码等。概括来说,只要是可操作的对象,不管是实体还是属性。都可以称之为“网络空间资产”
安全资产视图

借用“魔方安全”的图,一切可操作对象和属性,都是资产。

二、资产管理的挑战

通过上面的定义和图示,可以看到其实网络空间资产,所涉及的覆盖面特别广,给企业资产管理安全运营带来的巨大的挑战:
1、对象多
按数字资产类型划分如网站、IP、域名、移动门户和云服务等一切可能被潜在攻击者利用的设备、信息、应用等都是网络空间资产。所以资产管理需要纳管的类型多,且随着业务的互联网化、社交化,导致资产及暴露面快速增长。
2、分布广
随着数字化应用的深入,资产分布在多个数据中心、私有云、公有云、混合云、边缘计算和物联网等各种基础设施环境中,照成了资产信息割裂碎片化,给资产的统一管理带来了困难。
3、变化快
随着数字化转型业务发展和新型IT技术应用,为快速响应市场和业务需求,互联网暴露资产无时无刻都在跟着生产运营动态变化。
4、更隐蔽
影子资产的存在,包括钓鱼欺诈网站、暗网交易数据、用户信息泄露、代码仓库等外部隐藏的企业资产,给企业经济或商誉上带来更大的伤害。

三、解决方案

一切可能被潜在攻击者利用的设备、信息、应用等都是网络空间资产。你永远都无法知道攻击者如何利用这些网络空间资产进行攻击。

所以摸清家底是第一步,要搞清楚自己的资产都有哪些,分布在那里,有哪些漏洞风险。这里互联网暴露资产及影子资产尤为关键。影子IT(shadow it):指那些不在企业和组织IT部门掌控下的IT设备、软件及服务。影子资产就是影子IT中资产。互联网暴露面是网络攻击的入口,是网络安全运营的第一道防线;影子资产的存在更是让安全运营人员防不胜防,因为“你无法保护你看不见的东西”。为了解决这些问题业界推出了攻击面管理的概念。

攻击面管理以保护组织数字资产安全为出发点,聚焦在攻击者视角去审视网络空间内不同形态种类的资产所组成的攻击暴露面,同时特别强调“可观测性”、“可运营”,这意味着资产的全面性可度量、风险可度量、响应处置可度量。

攻击面管理的包括暴露面资产全面发现、资产脆弱性风险识别、多源数据融合分析、专项暴露面收敛。

1、暴露面的全面发现

暴露面的发现主要以攻击者视角为主,涵盖外部信息、网络资产等维度。

外部信息包括攻击者能够收集到的机构信息、在开源代码共享平台上的代码、外部接口等。

  • 机构信息收集

潜在攻击者首先会搜集用户的机构信息,搜集维度包括但不限于总部及分支机构名称、品牌、安全管理制度、业务运行时间、集团行政架构、各分支机构间的关系等等;针对高权限的IT管理人员,重点搜集姓名、邮箱、手机号、VPN账户、昵称、社会关系等等;搜集渠道主要有各大搜索引擎、天眼查类平台、网盘文库、官网、公众号、钉钉群、微信群、代码共享平台等。因此,安全团队可以通过外部攻击面发现平台,对此类信息做持续周期性的发现。先于攻击者发现此类资产,为响应收敛争取时间。

  • 源代码发现与收敛

代码共享平台存在隐匿的攻击暴露面,例如管理后台URL、VPN账户密码等,开发运维人员因缺乏安全意识,无意中将此类敏感信息上传至GitHub、Gitee等代码共享平台,为信息安全事故埋下导火索。攻击者主要是以用户机构的业务关键字、品牌名称、公司名称、IT人员的个人GitHub账户等渠道搜集这类信息,因此安全团队应以技术监测手段与内部行政管理相结合的方式,对此类攻击暴露面进行持续发现、收敛。

  • 外部接口管理

除了代码平台,还有一类常被忽视的攻击暴露面是外部接口,如与合作伙伴或第三方平台的API数据接口,与微信公众号菜单对接的URL、小程序或H5中隐含的数据接口等。这类外部接口,开发测试使用过后,即随着项目结束而被遗忘,极易成为潜在的攻击暴露面。同代码平台监测一样,安全团队应当以“技术+管理”相结合的方式,对此进行持续发现、收敛。

  • 网络资产攻击面覆盖

通过扫描探测、流量监听、主机代理、特征匹配、其他CMDB系统对接等多种方式,持续动态的发现、汇集资产数据,建立与业务之间的关联关系,安全责任落实责任人,做到摸清家底,解决资产掌握的“不准”、“不全”问题。建立统一的资产台账,对台账数据进行定期自动化探测稽核以及持续动态监测,发现未能了解或掌握暴露于网络空间的资产攻击面,对未申报的遗漏暴露面资产(影子资产)进行自动发现并预警,解决“大海捞针”的工作困扰。

2、脆弱性风险识别

脆弱性风险识别包括弱口令识别、漏洞发现、安全配置不合规项的检查识别

  • 弱口令识别

弱口令没有严格和准确的定义,通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令。近年来,账户密码的不断泄露导致暗网的密码数据库不断增加,日益开放的网络环境降低了边界的可防御性,远程设备的迅速涌入使互联网络上的用户和终端身份的安全管理更加复杂。可以说,金融行业的弱口令攻击面仍然是在不断扩大的。因此,攻击面发现能力中,对攻击面脆弱性的评估,首先还是要关注弱口令。
弱口令的发现方式相对也并不复杂,在发现管理后台页面、口令认证接口等类型资产时,相关产品或工具能够进一步辅以口令字典进行测试即可。这里的字典要支持用户上传进行自定义,同时针对不同的资产发现场景和任务,修改不同级别的弱口令测试强度,不影响业务。

  • 漏洞发现

作为攻击者,往往依赖于新爆出的0day或1day漏洞。这就决定了在新的漏洞威胁出现后,安全团队需要抢在攻击者之前,更快、更全、更准地定位潜在受漏洞威胁的风险资产。攻击面管理首先要做到在漏洞爆发之前,就对资产台账中的所有资产信息按照业务优先级进行标记,同时对所使用的系统、应用、中间件及资产的版本号等关键信息做到精细管理、持续更新。如此一来,在漏洞爆发时,才能第一时间做到资产快速筛选、PoC快速分发、漏洞精准匹配、虚拟补丁临时修复等快速检测与响应,赶在攻击者行动之前完成风险收敛。

  • 安全配置合规检查

安全配置通常都是由于人为的疏忽造成主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。攻击者往往利用主机、中间件的如脆弱的访问控制配置漏洞进行渗透。安全配置基线合规管控方案是能够有效保障网络设备、信息系统安全的手段之一,其内容主要涉及:登录配置、远程管理保护、访问控制、安全日志、安全协议等多方面内容,只有实现及时自动的采集和核查发现安全配置不合规项并进行整改,才能更好的保障网络资产的安全。

3、多源数据融合分析

随着数字化应用的深入,资产分布在多个数据中心、私有云、公有云、混合云、边缘计算和物联网等各种基础设施环境中,无论用户的单独一个部门亦或是单独某一家供应商,不可能覆盖所有资产,因此,统一的攻击面管理一定要具备“多源资产数据的接入并融合分析”的能力。主要解决统一可视化管理的问题,包括资产的可视化、资产与资产之间的关系可视化、风险可视化、业务影响可视化、责任可视化。这都要求具备统一的资产及攻击面管理平台实现多源资产数据的统一接入汇聚,多源数据的融合与分析。

  • 多源资产数据接入

应能对接的多源资产数据,包括但不限于CMDB、终端管理平台、AD域等运维数据,以及NDR、EDR、HDR(含HIDS)等具备资产发现能力的安全产品及解决方案。接入范围应该覆盖企业数据中心、私有云、公有云、混合云、边缘计算和物联网等各种基础设施环境中的所有的数据资产数据。

  • 数据融合与分析

多源资产数据接入汇总后,并非简单的叠加,而是要进行持续的交叉验证、去重/扩充、属性补全、标记等操作。需要结合业务数据流、网络流量、访问拓扑等多个维度,综合描绘出资产之间的关系链,建立“人-地-网”进行深度的关联和立体化模型,对地理、资产、事件、情报等大数据进行融合分析,结合可视化呈现技术,实现企业整体统一全面的资产地图,让网络资产“看得到、看得清、管得好",到对于攻击能够“防的住”。

4、专项暴露面收敛

通过前面的暴露面资产发现、脆弱性设别筛选定位出所有潜在威胁的风险资产,然后根据资产的业务优先级、所属部门,下发不同的响应策略。在不影响业务连续性的前提下,确定漏洞修复方案前,对部分资产做临时下线处理。对于一小部分受业务连续性要求,既不能下线又不能修复的资产,则通过“虚拟补丁/透明补丁”的方式临时加固,待将来允许时,再行修复。


博客:http://xiejava.ishareread.com/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/388904.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

论文阅读_善用Midjourney

论文信息 name_en: Grimm in Wonderland: Prompt Engineering with Midjourney to Illustrate Fairytales name_ch: 用Midjourney生成格林童话插图 paper_addr: http://arxiv.org/abs/2302.08961 date_publish: 2023-02-17 author: Martin Ruskov,米兰大学 读后感 针对生成图…

力扣-计算特殊奖金

大家好,我是空空star,本篇带大家了解一道简单的力扣sql练习题。 文章目录前言一、题目:1873. 计算特殊奖金二、解题1.正确示范①提交SQL运行结果2.正确示范②提交SQL运行结果3.正确示范③提交SQL运行结果4.正确示范④提交SQL运行结果5.其他总…

【C++】stl_list介绍和实现,list和vector区别,list vector string 迭代器失效

本篇博客详细介绍list的实现&细节讲解,并且在文章末对list和vector,string进行区分和复习 list的基本结构就是双向带头循环链表,链表和顺序表的差别我们在前面数据结构的时候早就学过了,不再赘述 在使用stl库里面list时&…

3.1 第一个外设GPIO GPIO输出

GPIO简介•GPIO是通用输入输出口(俗称IO口)•可配置为8种输入输出模式•引脚电平:0V~3.3V(数据0是0V,数据1是3.3V),部分引脚可容忍5V.•输出模式可控制端口输出高低电平,用以驱动LED…

Javascript周学习小结(初识,变量,数据类型)

JS的三大书写方式行内式如图所示:几点说明:JS的行内式写在HTML的标签内部,(常以on开头),如onclick行内式常常使用单引号括住字符串以区分HTML的双引号可读性差,不建议使用引号易出错,不建议使用特殊情况下使…

【冲刺蓝桥杯的最后30天】day2

大家好😃,我是想要慢慢变得优秀的向阳🌞同学👨‍💻,断更了整整一年,又开始恢复CSDN更新,从今天开始更新备战蓝桥30天系列,一共30天,如果对你有帮助或者正在备…

Java代码是如何被CPU狂飙起来的?

📣📣📣📣📣📣📣 🎍大家好,我是慕枫 🎍前阿里巴巴高级工程师,InfoQ签约作者、阿里云专家博主,一直致力于用大白话讲解技术知识 &#x…

Stable Diffusion WebUI安装instruct-pix2pix插件

instruct-pix2pix作者团队提出了一种通过人类自然语言指令编辑图像的方法。他们的模型能够接受一张图像和相应的文字指令(也就是prompt),根据指令来编辑图像。作者团队使用两个预训练模型(一个是语言模型GPT-3, 另一个是文本到图像模型Stable Diffusion)…

Python---正则表达式

专栏:python 个人主页:HaiFan. 专栏简介:Python在学,希望能够得到各位的支持!!! 正则表达式前言概念作用和特点使用场景正则符号re模块re.compile()match()search()span()findall()group()sub()…

uniapp系列-报错或常见问题处理集锦

问题一:执行完命令,就不动了,或者是uniapp 遇到编译很慢,无法正常运行的情况 情况1:执行run dev命令后,一直就不动了,输出如下 PS C:\XXXXXXXX> npx yarn run dev:h5 yarn run v1.22.19 wa…

YOLOv7实验记录

这篇博客主要记录博主在做YOLOv7模型训练与测试过程中遇到的一些问题。 首先我们需要明确YOLO模型权重文件与模型文件的使用 其实在github的readme中已经告诉我们使用方法,但我相信有很多像博主一样眼高手低的人可能会犯类似的错误。 训练 首先是训练时的设置&…

Object.defineProperty() 详解

一、对象的定义与赋值 我们经常使用的定义与赋值方法 obj.xxx value 或 obj[xxx] value,并且可以定义任意类型的值,如下所示: let obj {}; obj.name bjl; obj[age] 18; obj.sayHi function() {console.log(Hi)}; console.log(obj) /…

C语言自定义类型---进阶

之前的文章中有结构体初阶知识的讲解&#xff0c;对结构体不是很了解的小伙伴可以先去去看一下结构体初阶 结构体&#xff0c;枚举&#xff0c;联合结构体结构体类型的声明特殊的声明结构的自引用结构体变量的定义和初始化结构体内存对齐 <3 <3 <3(重点)那为什么存在内…

Unity记录2.1-动作-多段跳、蹬墙跳、墙体滑落

文章首发及后续更新&#xff1a;https://mwhls.top/4450.html&#xff0c;无图/无目录/格式错误/更多相关请至首发页查看。 新的更新内容请到mwhls.top查看。 欢迎提出任何疑问及批评&#xff0c;非常感谢&#xff01; 汇总&#xff1a;Unity 记录 摘要&#xff1a;实现跳跃、蹬…

若依学习(前后端分离版)——自定义注解@Log(如何自定义注解,实现aop)

如何自定义注解 aop的基本知识与应用 若依对用户的一些更新删除等敏感操作操作进行了日志记录 注解定义和切面处理的项目位置 第一步&#xff1a;自定义注解log 定义了注解的相关信息。这里定义的属性可以在使用时加以定义 注解Target和Retention的作用 第二步切面逻辑…

动手实现一遍Transformer

最近乘着ChatGpt的东风&#xff0c;关于NLP的研究又一次被推上了风口浪尖。在现阶段的NLP的里程碑中&#xff0c;无论如何无法绕过Transformer。《Attention is all you need》成了每个NLP入门者的必读论文。惭愧的是&#xff0c;我虽然使用过很多基于Transformer的模型&#x…

synchronized从入门到踹门

synchronized是什么synchronized是Java关键字&#xff0c;为了维护高并发是出现的原子性问题。技术是把双刃剑&#xff0c;多线程并发给我带来了前所未有的速率&#xff0c;然而在享受快速编程的过程&#xff0c;也给我们带来了原子性问题。如下&#xff1a;public class Main …

【微服务】认识微服务

目录 1.1 单体、分布式、集群 单体 分布式 集群 1.2 系统架构演变 1.2.1 单体应⽤架构 1.2.2 垂直应⽤架构 1.2.3 分布式架构 1.2.4 SOA架构 1.2.5 微服务架构 1.3 微服务架构介绍 微服务架构的常⻅问题 1.4 SpringCloud介绍 1.4.1 SpringBoot和SpringCloud有啥关…

[1.3_2]计算机系统概述——中断和异常

文章目录第一章 计算机系统概述中断和异常&#xff08;一&#xff09;中断的作用&#xff08;二&#xff09;中断的类型&#xff08;三&#xff09;中断机制的基本原理小结第一章 计算机系统概述 中断和异常 中断的作用中断的类型 内中断&#xff08;也称“异常”&#xff09;…

ES之DSL查询文档基础查询

分类 query查询分类 总体规律就是逻辑性的&#xff0c;从外层的你干嘛&#xff0c;到下一层的查询类型&#xff0c;再到下一层的查询字段&#xff08;如果需要的话&#xff09;和然后是查询内容 查询所有 语法 get /索引库名/_serarch {"query":{"查询条件…