前言
由于企业在信息化方面的投入不断增加,IT资产也随之增涨。近年来,因
无法全面把控资产信息而导致的信息泄露事件频频出现,如2019年,俄克拉荷马州安全部门服务器由于没有受到很好的保护,导致共3TB大小的数百万文件可公开访问,其中包含数百万个敏感的政府文件和FBI调查报告。另外,攻击者可能从泄露的信息中获取远程访问国家机构工作站的密码以及登录多个web服务器的凭证。
早几年里,企业的安全运营人员面对机房里的资产管理还能从容应对。如今,如果对资产管理的重视程度和运营方式还停留在以前的水平,迟早会成为黑客的下一个目标。
- 资产梳理和漏洞运营的挑战
在网络安全建设的过程中,资产梳理和漏洞运营作为其中的关键环节,常常遇到诸多挑战。
- 内部环境资产数量复杂难以梳理
由于内部信息化业务发展迅速,云资产剧增,企业内部极少有人能及时了解企业本身的核心资产,如主机规模、域名、网段等清晰的资产情况。尤其是资产和组织架构越来越复杂之后,管理难度也越来越高,甚至存在某些大型运营商连自己有多少台服务器都数不清楚的例子。
- 内部环境资产管理难度大
企业内部缺少资产统一管理平台以及自动识别资产变更的能力。对于退运的网站,缺乏有效的管理手段,导致企业内部出现资产孤岛。
- 缺乏应急能力
系统中存在大量的业务组件,如数据库、中间件等。在组件出现漏洞时,企业的安全运营人员也缺乏应急手段,无法及时、准确地发现受影响组件的范围,导致危害不断蔓延和扩大。
- 脆弱性排查难度高
资产本身的漏洞、配置缺陷以及由于缺乏安全意识导致的弱口令等安全问题更是难以排查。
针对以上的种种挑战,如何高效地进行资产治理以及漏洞运营等,对所有的安全运营人员来说,是个必须思考的命题。
- 资产治理及漏洞运营解决方案
解决方案落地思路
想解决资产导致的风险问题,提升系统的安全防护能力的话,首先我们要明确保护的对象。
GB/T 20984-2007《信息安全技术 信息安全风险评估规范》中是这么定义资产的:“对组织具有价值的信息或资源,是安全策略保护的对象”,即我们要保护的对象为信息或资源,包括主机、数据交换设备等固定资产以及运行于主机上的服务器、所使用的账号端口等。
其次,应基于黑客入侵的视角对资产进行分析,了解资产本身常被黑客利用的脆弱点有哪些。
这一步的分析我们可以从几个方面进行思考:
01 – 攻击者入侵的动机是什么?
02 – 攻击者入侵的目标有哪些?
03 – 攻击者入侵想要达到目的的方法或途径有哪些?
通过这几个方面的思考,从而对系统中的风险进行全方位把控。
经过分析我们不难发现,攻击者的最终目标往往在于存储重要数据的服务器。而攻击者想要获得服务器的控制权或数据的过程中,常以资产自身的漏洞、弱口令账号为跳板进入资产内部,并通过提权,创建计划任务等一系列动作达到目的。
解决思路清晰后,如何进行资产梳理和漏洞运营的方案也就对应产生。
- 云眼0解决方案
安全狗“云眼4.0”以CWPP架构为模型,融入了攻防对抗ATT&CK模型;采取“云+端”的部署方式,集成了资产管理、安全体检、安全监控、漏洞风险、入侵威胁、合规基线、威胁情报等多个功能模块。各个模块进行联动,模块间数据联通,形成闭环系统,为企业提供强有力的采集、检测、监测、防御、捕获能力,对主机进行全方位的安全防护。
[1]摸清家底,威胁资产全面把控
《2019年中国互联网网络安全报告》中显示我国境内感染计算机恶意程序的主机数量为581.88万台。企业由于对自身资产缺乏集中管控的手段,甚至容易形成僵尸网络。
云眼4.0支持全面收集主机层面资产,包括端口、对内对外IP、web站点、web中间件、web应用、数据库、进程、第三方组件、软件应用、环境变量、计划任务、jar包等;同时可对资产实时监测,基于变更规则(变更频率)进行告警。
[2]漏洞风险,一看便知
近两年,勒索病毒一直处于高频活跃状态,通过分析可以发现勒索病毒常常以文件服务器、数据库等存放数据的服务器为目标,并利用弱口令、高危漏洞等作为攻击入侵的主要途径。
在云眼4.0平台上,用户可通过漏洞管理模块,全面排查系统中存在的漏洞、弱口令、风险账号等,从而提升系统安全性;另外,云眼4.0融合了NASL技术,通过POC快速对新出现的漏洞进行验证,利用了NASL技术与国家漏洞库建立联动机制,极大地提升了HW中的供应链类漏洞预警响应能力。
[3]威胁资产,快速定位
对用户而言,应急响应时间的长短直接关乎着企业的损失。如何快速响应,控制威胁一直是安全人员及用户关注的重点。
对此,云眼4.0新增“资产一键搜”功能,可帮助用户快速定位威胁资产,控制威胁。
来源:freebuf.com 2020-08-24 10:01:56 by: 安全狗safedog
请登录后发表评论
注册