做好網(wǎng)絡(luò)安全必須要做的一步工作
2023年03月06日
前言
網(wǎng)絡(luò)安全建設(shè)的實(shí)質(zhì)是對(duì)風(fēng)險(xiǎn)的管理�����,古人云:知己知彼百戰(zhàn)不殆����。所謂知己,就是要了解自己的資產(chǎn)以及這些資產(chǎn)的脆弱性���,知彼就是了解外部威脅及威脅所使用的手段����。
要做到知己�,首先就要對(duì)自身的資產(chǎn)進(jìn)行梳理。今天�,我們就來(lái)聊一聊資產(chǎn)梳理的話題。
1���、為什么要做資產(chǎn)梳理�?(WHY)
一����、安全體系建設(shè)的需要。
網(wǎng)絡(luò)安全(數(shù)據(jù)安全)建設(shè)的實(shí)質(zhì)是對(duì)風(fēng)險(xiǎn)的管理�,風(fēng)險(xiǎn)管理的三個(gè)要素是資產(chǎn)���、威脅和脆弱性����。這三項(xiàng)的基礎(chǔ)是資產(chǎn)管理。
隨著客戶業(yè)務(wù)的逐漸增多�,面向互聯(lián)網(wǎng)的系統(tǒng)暴露的信息也就越多,如端口��、后臺(tái)管理系統(tǒng)���、與外單位互聯(lián)的網(wǎng)絡(luò)路徑等信息����,而這這些信息就越容易被攻擊者盯上���。
很多單位在進(jìn)行安全體系建設(shè)時(shí)��,往往對(duì)重要業(yè)務(wù)系統(tǒng)進(jìn)行較好的防護(hù)���,對(duì)于一些邊緣業(yè)務(wù)甚至廢棄業(yè)務(wù)沒有做好及時(shí)處理,而這些往往成為攻擊者攻擊的對(duì)象���。
通過(guò)對(duì)大多數(shù)被攻擊事件的分析��,大多數(shù)攻擊都是因?yàn)榭蛻魧?duì)自身資產(chǎn)不清晰所致�,所以需要對(duì)單位機(jī)構(gòu)資產(chǎn)進(jìn)行梳理,通過(guò)資產(chǎn)梳理���,可以確定主機(jī)漏洞����、弱口令掃描�、web應(yīng)用漏洞、基線配置的目標(biāo)���,排查無(wú)備案����、無(wú)管理�����、無(wú)防護(hù)的信息資產(chǎn)����,收集信息資產(chǎn)開發(fā)端口服務(wù)����,作為關(guān)閉非必要端口和加強(qiáng)端口訪問策略提供依據(jù)�����,整理重點(diǎn)資產(chǎn)�,作為有限防護(hù)資源分配的參考����。
資產(chǎn)梳理是進(jìn)行安全運(yùn)維與風(fēng)險(xiǎn)評(píng)估的基礎(chǔ),也是進(jìn)行安全體系建設(shè)的依據(jù)�����。如果家底不清��、資產(chǎn)不明�,很容易會(huì)被黑客利用和攻擊。
二��、合規(guī)性的需要���。
在《數(shù)據(jù)安全法》和等保中�����,也都有明確的規(guī)定�。
如等保三級(jí)管理部分(7.1.10.2)明確規(guī)定:應(yīng)編制并保存與保護(hù)對(duì)象相關(guān)的資產(chǎn)清單,包括資產(chǎn)責(zé)任部門���、重要程度和所處位置等內(nèi)容����。
《數(shù)據(jù)安全法》第二十一條中也要求�����,“各地區(qū)�、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度,確定本地區(qū)����、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄���,對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)�?�!?/span>
在數(shù)據(jù)安全時(shí)代,對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)的前提就是要先進(jìn)行資產(chǎn)梳理���。
2�、梳理什么����?(WHAT)
知己知彼百戰(zhàn)不殆。所謂知己����,就是要了解自己的資產(chǎn)以及這些資產(chǎn)的脆弱性�,知彼就是了解外部威脅及威脅所使用的手段。知己的前提就是要對(duì)資產(chǎn)進(jìn)行梳理��,了解你要保護(hù)的對(duì)象��,以及對(duì)象自身存在的安全漏洞���,才能有針對(duì)性的做好預(yù)防措施���。攻擊者所想要利用的信息,單位機(jī)構(gòu)內(nèi)部一定要自己知道�,這樣才能做好及時(shí)加固防護(hù)��,因此根據(jù)攻擊者現(xiàn)主流攻擊的目標(biāo)及目標(biāo)相關(guān)信息確定梳理的內(nèi)容有如下:
1��、根據(jù)需要可選擇不同角度對(duì)資產(chǎn)進(jìn)行資產(chǎn)分類和分級(jí)�����,摸清楚哪些是重要資產(chǎn)����。
2����、收集明確歸口的信息系統(tǒng)資產(chǎn)信息:(數(shù)據(jù)庫(kù),中間件���、群件系統(tǒng)�、各商業(yè)軟件平臺(tái)���、后臺(tái)地址���、使用框架、敏感目錄等)����。
3��、 統(tǒng)一排查發(fā)現(xiàn)未確定歸口部門的資產(chǎn)與廢棄資產(chǎn)��,確定其歸口管理部門�����。
4����、 梳理資產(chǎn)對(duì)應(yīng)的開放端口�����、服務(wù)�,并明確其用途��。
5���、梳理業(yè)務(wù)數(shù)據(jù)流向��,理清楚業(yè)務(wù)之間的邏輯關(guān)系和數(shù)據(jù)流轉(zhuǎn)時(shí)與其他資產(chǎn)(硬件���、軟件�����、網(wǎng)絡(luò)等)之間的關(guān)聯(lián)性����。
6���、 梳理易受攻擊應(yīng)用系統(tǒng)目標(biāo)(重點(diǎn)資產(chǎn))��。
7���、 梳理存儲(chǔ)敏感數(shù)據(jù)(用戶數(shù)據(jù)、源代碼數(shù)據(jù))的資產(chǎn)��。
8��、 梳理現(xiàn)在安全防護(hù)資源�。
3、怎么做梳理�?(HOW)
資產(chǎn)梳理總體流程:
1、人工確認(rèn)資產(chǎn)列表或通過(guò)資產(chǎn)管理工具導(dǎo)出資產(chǎn)信息。
2��、資產(chǎn)信息核對(duì)�,補(bǔ)充和更新如端口、服務(wù)���、補(bǔ)丁版本���、更新時(shí)間、責(zé)任人��、重要性等�����,對(duì)未知資產(chǎn)確認(rèn)歸口����,完善全部信息��。
3����、對(duì)未知資產(chǎn)進(jìn)行歸口,更新和確認(rèn)歸口,輸出最新資產(chǎn)列表�。
4、對(duì)廢棄資產(chǎn)進(jìn)行排查�,消除安全隱患。
4��、輸出物
資產(chǎn)列表是資產(chǎn)梳理的最終輸出�,為后續(xù)漏洞掃描、基線配置等提供基礎(chǔ)信息��。資產(chǎn)包括機(jī)房設(shè)備���、網(wǎng)絡(luò)設(shè)備�����、應(yīng)用服務(wù)器�、安全設(shè)備���、虛擬化平臺(tái)��、中間件���、業(yè)務(wù)系統(tǒng)����、數(shù)據(jù)資產(chǎn)等��,根據(jù)不同的視角���,可以建立不同角度的資產(chǎn)表��。
示例:(包括但不限于以下內(nèi)容)
硬件資產(chǎn)信息:設(shè)備名稱���、廠家(維保廠家)、IP地址����、MAC地址、物理商品信息��、拓?fù)浣Y(jié)構(gòu)���、硬件版本號(hào)�、安全策略���、特征庫(kù)升級(jí)記錄、巡檢記錄、維修記錄�、機(jī)房位置、責(zé)任人�����、承載業(yè)務(wù)�、重要性賦值(CIA)等。
軟件資產(chǎn)信息:業(yè)務(wù)系統(tǒng)名稱���、開發(fā)單位名稱����、安全定級(jí)信息����、操作系統(tǒng)類型及版本、數(shù)據(jù)庫(kù)類型及類型����、網(wǎng)絡(luò)安全管理員、數(shù)據(jù)安全管理員����、賬號(hào)及權(quán)限信息��、業(yè)務(wù)關(guān)聯(lián)性����、重要性賦值(CIA)��、使用端口信息等����。
數(shù)據(jù)資產(chǎn)信息:數(shù)據(jù)收集來(lái)源、存儲(chǔ)位置����、數(shù)據(jù)類別、公開范圍����、賬號(hào)及權(quán)限信息、數(shù)據(jù)使用者角色�����、是否個(gè)人信息���、是否重要數(shù)據(jù)或涉密數(shù)據(jù)��、重要性賦值(CIA)等����。
5����、總結(jié)
通過(guò)資產(chǎn)梳理,摸清單位機(jī)構(gòu)自己的資產(chǎn)家底�,了解自身基本情況,初步識(shí)別存在的風(fēng)險(xiǎn)�����,減少單位機(jī)構(gòu)網(wǎng)絡(luò)被攻擊面���,為后續(xù)進(jìn)一步自查提供基本支撐�����。
在梳理過(guò)程中�,要確保梳理無(wú)遺漏���,處理好無(wú)歸口資產(chǎn)和廢棄資產(chǎn)�����,標(biāo)記重點(diǎn)防護(hù)資產(chǎn)���,為后續(xù)防護(hù)決策等提供基礎(chǔ)信息���。
來(lái)源:大兵說(shuō)安全
