資產管理,看起來沒什么技術含量,是很多人不屑于從事的安全工作,又或者是某些人眼中大量開源軟件的堆砌。但其實國內的網絡資產梳理工作早就如火如荼的開展起來了,作為網絡安全資產摸底、資產治理領域的一名老兵,接下來筆者將分幾篇文章和大家聊聊這幾年在網絡資產安全戰斗中踩過那些坑以及背后的心得體會。
網絡資產管理是網絡空間治理的基石
網絡空間作為繼陸、海、空、天之后的“第五疆域”,已成為當前世界各國爭奪的戰略焦點。我國已經成為網絡大國,智慧城市、數字中國、互聯網+等技術浪潮正在改造傳統的生產和生活模式,網絡安全也成為事關國家安全、國家發展和廣大人民群眾工作生活的重大戰略問題。
維護網絡安全,首先要知道風險在哪里,是什么樣的風險,什么時候發生風險。工作重點是“摸清家底,認清風險,找出漏洞,通報結果,督促整改”。可見“摸清家底”,也就是通過各種技術手段實現網絡空間設備的描述和識別,是網絡安全工作的重中之重,是網絡空間安全治理的基石。(此觀點與本屆創新沙盒大賽冠軍Axonius公司“YouCan'tSecureWhatYouCan'tSee”的理念一致)
網絡空間中網絡數字資產的現狀
眾多網絡安全人員最為緊張的莫過于突發性的“黑客事件”,尤其是當那些集中爆發且聲勢浩大的黑客攻擊發生時,各家網絡安防人員無疑會高度戒備,嚴陣以待。通過對安全攻擊事件進行持續的跟蹤和分析,盛邦安全發現,從安全攻擊的目標行業來看,在近三年發生的400多起攻擊事件中,教育行業占比達到55%,政府行業占43%。在剛過去的2018年,政府類占比14%,教育類占比19%,企業占比49%。針對教育行業,盛邦安全選取了包括985/211院校、重點院校、普通院校、高職、普教5大類近百個教育機構進行調研,通過被動流量學習進行Web資產梳理和數據分析。
數據顯示,已知系統資產數量占比資產總數分別為:
可見,即使是資產管理方面做得最好的211/985院校,已知資產數量也僅占所有資產的55%,仍然有45%的資產是未知的。進一步研究發現,這些未知資產的構成主要為:
(1)高端口資產占10%(就是做了端口轉換的資產):高端口是防火墻或者部分實驗室做了端口轉換的業務系統、網站等。
(2)業務系統占11%:這些業務系統由教學、教輔系統組成,部分使用域名訪問,部分沒有進行備案登記。比如,常出問題的高校迎新管理系統、OA系統、就業管理系統、圖書館管理系統等等。
(3)網絡設備/網絡安全設備占3%:分別是機房管理系統、交換機、路由器、網絡防火墻、上網行為管理、流控設備、計費系統等。
(4)中間件占2%:指安裝了中間件系統,但是默認頁面可以對外訪問的資產。這類默認頁面常常會造成信息泄露,從而導致安全問題。
(5)疑似業務系統占10%:對這類系統分別訪問和確認,發現由打印機、攝像頭、電梯管理系統、門禁卡管理系統、大屏控制系統等物聯網設備組成。隨著高職院校、普教等機構的數字化校園的不斷推廣,這部分占比極高。
基于對教育行業抽樣調研和統計數據可知,廣域網網絡資產不清造成的危害是極其嚴重,也是極其棘手的:要知道,目前安全管理和技術手段已經層層疊加,但仍然還會有大量未知資產的存在,這不得不讓我們警惕。
盛邦安全經過詳細的技術分析,認為主要原因有:
1)業務多
業務部門眾多,導致需求不一致,記事本模式的資產管理方式不能及時跟進系統變化。
2)新技術
云平臺、虛擬化的大量使用,數據中心變化成為常態,沒有新的資產管理方式。
3)突發性
因為某個活動而建立的系統,當活動結束后,系統沒有及時退運。
4)管理員制度
當管理員更替時,交接不徹底,或者多次交接,導致系統變為僵尸系統。
解決以上問題的關鍵,最終還是要回歸到是否能夠做到對自身網絡資產“知根知底”,是否能夠真正做到可知、可控、可管,快速定位風險,并將威脅消滅在萌芽之中。網絡資產識別是網絡空間治理的基石,只有先把這步走好了,才能談得上后續對網絡空間的治理。
資產治理系列將分幾篇文章陸續分享,接下來還將為大家帶來網絡資產管理的方法論以及資產管理如何與業務相結合的深度解讀。敬請期待。
