你保護不了你看不見的資產。

作者:程度

IT的資產管理在國外有專門的領域叫做ITAM(IT Asset Management),主要視角集中在包括硬件角度、財務角度和合同角度,比如購買的硬件資產的狀況、資產價值、供應商的服務水平、擁有者等等相關信息。融合了相關的硬件信息、財務信息以及合同信息等相關信息。

後面出現了CMDB專注於資產配置類信息的產品,現代的CMDB保存資產信息要比ITAM要更多,細節信息更豐富。比如說ITAM只有設備信息,而CMDB會有更多的IP類和MAC類信息,ITAM只有軟件的License信息,而CMDB則包含軟件的版本信息等。

圖1:ITAM產品和CMDB產品包含

資產及功能差異

隨着時代的發展,對於ITAM的要求也在變化,包括從網絡安全角度,信息資產管理角度,新型License模型,都要求ITAM要增加新的功能來滿足這些需求,這對於ITAM就是全新挑戰。除了ITAM之外,CMDB同時也在演變,有了一些SaaS類廠商,比如ServiceNow、Device42等公司有一些創新的做法,後面也會提到一些。由於這篇文章主要專注於網絡安全領域的資產管理,IT領域的資產管理概念這塊就不贅述。

圖2:ITAM快速新挑戰

1

網絡安全資產管理的標準

NIST CSF

NIST CSF標準是國內外安全領域都十分認可的框架。在其六大領域:識別(Identify)、保護(Protect)、檢測(Detect)、響應(Respond)和恢復(Recover)中,識別是NIST CSF第一步的動作,而資產管理(Asset Management)則是識別第一步。對於資產管理本身,又有6個子分類,包括:物理設備的信息、軟件平臺和應用的信息、數據和通信的信息、外部信息系統、基於分類、重要性和商業價值的優先級排序、人員角色的相關責任包括了供應商、客戶和合作夥伴等。這幾個方面相對來說比較全面,但是隻是在籠統層面的一種表述。

圖3:資產管理六個方面

NIST SP 1800-5

NIST SP 1800-5 是專門針對於安全資產管理的標準。從架構和實例都講的比較詳細。如下圖所示整個功能架構圖,第三層主要是各種設備,包括硬件設備和軟件系統以及虛擬機等資產;第二層是數據收集的方式,將資產信息收集上來,主要是一些配置相關的信息;第一層是數據存儲、數據分析以及報告和可視化方面,可以做到合規等方面的工作。

圖4:ITAM資產管理相關功能

下圖是一種網絡拓撲結構的例子,該組織有5個子網都經過防火牆和路由器連接到DMZ網絡。DMZ區會放置一些資產收集裝置,包括補丁服務器,VPN,流量分析設備等,其他每個網絡收集的資產信息都不太一樣,ITAM網絡裏面主要是域控服務器、CA服務器、郵件服務器、運維服務器以及辦公終端等資產;物理資產管理網絡裏面主要是路由器、交換機以及相關資產管理的系統;物理安全網絡範圍內主要是OT類的設備,包括攝像頭、視頻存儲、門禁等設備;網絡安全網絡主要管理漏洞掃描、SIEM、IPDS等安全類設備;Lab5 是實驗室跟實驗相關的設備相關。

圖5:資產管理網絡拓撲圖

根據上述的資產總體架構以及網絡架構,實現了一種資產統一管理的示例方案,針對這些不同的資產,採用了相關開源或者是比較主流的解決方案,在Tier2層可以發現有很多相關的系統,進行資產的收集和管理,最後全部彙總到Splunk進行統一展示、分析。

圖6:統一資產管理方案

CIS Control

CIS Control 對於資產管理有更具體的表述,主要集中在硬件資產和軟件資產的表述。對於硬件資產有8個方面的要求:1.要有主動發現資產的工具;2.有被動發現資產的工具;3.通過DHCP進行更新資產信息;4.維護資產的目錄信息;5.維護資產的信息數據;6.管理未授權資產;7.使用訪問控制,比如802.1X的標準接入;8.使用證書機制來驗證硬件。這幾個方面講的比較具體分類三大類:資產發現類,資產維護類和資產安全類。資產發現除了主動掃描和被動流量分析之外,還加入了DHCP這種自動分配IP的服務進行資產發現,也是一種很好的思路。資產維護類的需要維護資產的基本信息和詳細信息,基本信息包括硬件信息和IP信息等,詳細信息包括機器名、所有者,部門負責人等,這些信息必須定期更新維護,否則資產一旦有變化這些信息就會不準。資產安全類的主要在於訪問控制類的內容,防止非法接入,使用ACL機制進行保證,使用證書機制進行驗證等都是屬於這種資產安全接入的方式。

圖7:CIS硬件資產發現和控制8項規則

下圖是個硬件資產管理的總體示意圖,主動和被動發現資產方式,網絡級別的認證和PKI證書體系的安全保證來進行資產信息數據庫的更新,從而進行分析和報告。

圖8:CIS硬件資產管理的總體示意圖

對於軟件資產相關的內容有10項相關內容:1.保證授權軟件;2.保證軟件有廠商進行維護;3.使用軟件資產管理工具;4.跟蹤軟件資產信息;5.關聯軟件和硬件資產;6.發現未授權軟件;7.使用應用白名單;8.使用加載庫白名單;9.使用白名單腳本;10.隔離高危險應用。這些內容看起來很合理,但是做到實在太難。關於授權軟件這個事情其實已經出了很多類型的事件,比如Xcode事件和Lastpass事件都是類似的情況,盜版軟件被植入了木馬,引發的安全事故,但是盜版軟件使用仍然很常見,很多組織也沒有很有效的管理起來。還有一些不在LTS版本規範中系統也無法進行更新,也依然在使用,比如Windows XP和Windows 7等,就算爆出0Day,微軟一般也不會支持了。白名單這個事情更難了,應用級別、加載庫和腳本級別,想完全實現白名單會極大增加運維的成本和影響上線速度。

圖9:CIS軟件資產管理10項規則

2

資產管理的總體架構

上面講到了NIST和CIS的標準是從基本面上說明了網絡安全領域資產管理應該做的內容,結合這些理論的內容和產品研發的相關理解,總結了以下一些內容,主要從功能要求、數據要求以及資產收集技術路線三個方面進行講述。

資產管理功能

資產屬性標記: 有了這些基本信息之外還需要一些額外的信息進行填充。比如負責人員、地理位置等,這都是管理類信息需要對資產進行標記。

資產分組及重要性標記: 資產所屬的業務組以及重要性,也需要相應的標記。這樣對於安全事件發生之後或者漏洞管理方面都是很重要的參考維度。

資產發現: 對於安全來說,就害怕存在未納入安全管控範圍的資產,所以通過資產發現能夠發現那些殭屍資產或者是未受安全保護的資產。這個能力是一個必備能力,常常是通過掃描或者其他服務相互驗證進行發現。

資產合規:對於管理規範的組織來說,使用什麼軟硬件都是有相應的規範的,比如只使用Debian8這一種操作系統,也是爲了方便管理和維護。有上述的資產信息,就可以很容易的做到資產合規性檢查。

資產查詢: 資產查詢對於突發的0Day或者高危的漏洞來說是最好的方式了,可以迅速定位可能受到影響的資產,比如meltdown這種CPU級別的漏洞就很快能夠定位,還比如有新發現的Weblogic RCE的0Day,也能迅速定位。

資產授權管理: 對於大型機構和集團公司,不同的資產對應不同的部門和公司,需要對這些不同的組織進行授權管理,只允許針對自身的資產進行查看和管理,同時受到上級部門的監督和管理。

資產變更管理: 資產的變更有時候能夠發現很多異常安全事件,比如突然增加了一個庫,增加了一個應用軟件或者計劃任務,或者新增的端口等,這些都有可能是入侵過程中遺留的內容。正常的變更也是日常運維管理和安全管理的一部分。同時也會存在新上線系統的安全檢查以及資產從一個部門換到另外一個部門後的安全策略調整。

資產信息集成: CMDB是一個重要的資產信息來源,但從安全視角來看還是不夠的。還需要集成IP庫,DNS信息以及統一身份認證系統。這些都是基礎資產信息,有條件的可以結合相關的安全產品進程資產信息的集成,比如SIEM或者是終端類的安全產品也有類似資產的情況。

資產風險: 根據實際的情況來決定風險問題,這個跟漏洞和維護情況有關。尤其對於已知的風險情況要定期進行梳理,對於處於高危風險的軟硬件,就不應該上線。對於資產風險做統一的管理,尤其常見的RCE的中間件或者庫,在上線之前要做到風險檢查。

資產數據類型

硬件資產清單: 硬件的相關配置信息,包括芯片、內存、存儲、主板等相關信息。

軟件資產清單: 操作系統、數據庫、中間件、應用軟件、第三方軟件,開發庫等。這裏面的內容相當龐雜,僅操作系統一項,包括的內容就非常多,如操作系統版本、進程信息、端口信息、賬號信息、計劃任務、安裝軟件等。數據庫的相關配置信息也有一些,比如連接信息,賬號信息等配置信息,也包括日誌路徑等。其他的軟件資產也根據其自身的特性需要維護相關的內容,比如開發庫的版本號就是很重要的資產信息。

雲計算資產清單: 雲計算資產信息會結合軟硬件信息,包括雲計算資源池的位置,雲計算分組信息和相關使用雲計算產品的信息等等。但是深入到相關實例的信息可能又關聯到軟件資產信息。

信息資產清單: 主要包括一些基本的網絡信息,比如IP、DNS等信息,也會包括一些業務方面的信息,比如交易系統等,當然也可以通過結合軟硬件信息進行標籤化處理。

數據資產清單(Option): 這個內容跟數據治理有一定的相關性,但是數據安全越來越受到重視。如何識別數據資產的類型和分類,從廣義上也屬於安全領域需要關注的資產類型之一。

人力資源和認證清單(Option): 這些人員本質上來說是跟資產有一定的關聯性,資產會落到每個人身上。對於管理完善的組織,每個資產都有相應的負責人。同時每個人的權限也算是必要的一種資產標記,每個人的對於每個資產的權限也是一種很重要的信息。

資產收集方案

主動流量探測:這是目前市面上比較主流方案,對於客戶來說接受度比較高。通過掃描方式,獲取相關的banner或者TCP/IP各個層面的掃描方式進行確認,比如通過ICMP、ARP、SNMP、HTTP等協議方式進行探測。這種方式如果在各種隔離的環境需要部署多套掃描器或者通過隧道的方式進行內網掃描。這種方式的優點是能夠發現一些隱藏的資產、相對全面,但是缺點是效率較低,對於內網的帶寬會有一定消耗。還有就是會存在一定的誤報的情況,識別資產上可能不準,一些細粒度的信息也是無法獲取的,比如進程數據。

被動流量探測:這種方式侵入性比較低,可以通過流量進行判斷。需要對於流量進行分析,但是這個被動的流量分析大部分的情況都是用於IPDS的設備,沒有這個角度去看待資產問題。可以在被動流量的分析上以資產的視角分析,也是一個很好的資產管理的補充。同時這種方式會比較片面,如果沒有訪問過的資產或者只在內網交互的資產,可能在邊界流量探測就可能發現不了此類資產。

統一身份認證系統探測:前提有統一身份認證系統,同時管理比較嚴格,這種方式纔可以進行相關資產的探測。比較依賴於IAM系統的接口和信息收集,所有的資產登錄都需要統一身份認證系統進行維護和配置的情況下就可以收集相關的信息,比如通過IAM的後臺系統進行統計。

Agent探測:這是一種常見的資產採集的方式,優點是採集數據準確率高,資產的豐富度高,對於主機或者設備可以進行全面的數據收集。

其它服務探測:自有系統或者服務也是資產探測的來源。比如DHCP服務可以探測相關的IP信息,DNS服務可以發現內部的所有域名。

ShadowIT資產探測:影子IT需要外網的掃描器,關注於對外可能暴露的資產情況。這個手段就會比較多樣,可能跟每個可能會用到的平臺有關。比如代碼類的GitHub和國內的碼雲等,存儲的也會有網盤的分享之類,也可以通過shodan等相關數據來源進行收集。其他的IT環境可能用到的外部IT系統都在考慮之內。

系統集成對接:這種方式是對接其他的資產收集系統或者方式,這種對接不直接探測和收集資產信息只是做聚合。

3

資產管理的廠商介紹

Axonius

Axonius做爲2019年的RSAC的創新沙盒冠軍。其產品做法也是比較巧妙,這個產品不使用任何終端和網絡的agent資產採集功能,不做資產收集只做資產聚合。可以通過它的產品界面可以看出來是什麼環境的,可能是Windows的某個版本,外加使用VMware和McAfee的殺毒軟件。需要對接這些所有產品系統,能夠對接的產品的列表非常多,但是隻關注資產層面的信息,包括各種資產管理系統,安全產品以及雲平臺,宣稱已經支持了232中各種系統和設備的對接和適配。

圖10:Axonius資產管理產品界面

其用法就是首先部署Axonius的服務端,然後進行適配連接相關設備和系統,最後就可以進行相關資產查詢。比如想知道Windows系統中使用McAfee殺毒軟件的覆蓋率是多少,這種綜合條件的查詢比較便利。下圖是根據Azure的使用進行的資產分析,包括實例類型分佈,設備位置以及端口對外情況以及未被掃描到的實例。

圖11:Axonius資產查詢界面圖

Panaseer

這家公司提出的一個新的概念叫做CCM,即持續控制檢測。目的是爲了將資產等各個方面的安全做到持續的安全監控。其本質做法也和Axonius類似,通過Connector連接器將各種系統對接,收集相關設備、應用、人員、賬號以及數據庫的相關信息。在這個基礎上有很多模塊,包括資產管理、漏洞管理、用戶安全意識、特權賬號管理、身份訪問管理、終端管理、引用管理和補丁管理。在資產分析上可以做到展示已知和未知的資產信息;持續監控資產狀態,發現未被管理的資產以及不在維保範圍的資產;獲取相關資產的屬性信息,包括業務和技術方面的內容,包括業務組以及地理位置等信息;並可以靈活的搜索相關的資產信息。安全控制層面的做法有一定的特色,可以統計EDR產品的覆蓋率,其他的安全產品是不是都在運營過程中,監控安全產品的部署情況,可以跟蹤修復進程並說明相關進度。其他方面包括診斷和合規方面算是比較傳統的功能。

圖12:Panaseer基於CCM資產管理產品

LifeOmic’s JupiterOne

JupiterOne第一步也是做各種系統的集成,尤其在雲平臺方面,對於AWS雲平臺內部的各種應用的梳理相當的全面。 這些數據會按照他的數據模型進行格式化和存儲,爲後續的查詢等工作奠定基礎。 同時支持API和CLI的方式進行對接,可以將相關的內容對接給JupiterOne。

根據上述的集成操作,第二步就可以將各種資產自動發現並進行展示。對於雲內資產有深度對接和展示,也有相關的訪問控制信息,對數據進行相關聚合,並30分鐘做一次資產數據同步,同時也有資產的相關圖關係的展示。

同時可以做到的就是相關合規性的檢測,包括了相關國外的主流標準,比如PCI-DSS、NIST相關標準、SOC2、CSA等標準,對於合規的報警和修復反饋也是功能之一。

比較核心的能力有兩個,其一就是有一套語言可以查詢分析,另外一個就是圖關係展示。有一套自研的JupiterOne Query Language (J1QL)查詢語言,對於資產以及合規情況可以很好的查詢分析。有很多內置的語句和說明可以使用,包括某些關鍵字,就可以將所有的相關信息輸出出來。

圖13:LifeOmic’s JupiterOne產品資產查詢頁面

另外一個核心能就是資產圖關係的展示。比如說下圖就是一個賬號可能關聯到的所有資產信息,也可以展示網絡拓撲結構以及安全策略和跟蹤某些特定資產可能受到攻擊的情況。

圖14:LifeOmic’s JupiterOne產品資產關係圖

ServiceNow

ServiceNow作爲SaaS類型的ITSM的供應商,作爲了一種平臺型公司。ITAM算是其中的一個重要模塊,這個模塊有四個部分構成:硬件資產管理,軟件資產管理(SAM),CMDB和資產發現。硬件資產管理和軟件資產管理更多是從財務角度進行統計,硬件資產涉及的合同管理,合規管理,SLA管理,入職資產分配等等方面。軟件資產管理涉及費用管理,license管理,合規管理、性能分析、漏洞管理等等方面。

圖15:ServiceNow產品資產概覽視圖

圖16:ServiceNow產品界面圖

而CMDB的信息大部分都是配置類型信息,他們的關係可以理解爲,配置的信息大多來自於硬件資產的一些目錄信息和軟件的相關信息。

圖17:ServiceNow產品配置信息來源

ServiceNow的CMDB其數據來源也是來自於其他的平臺,包括VMware的vCenter和微軟的SCCM或者是其他的終端管理平臺,也可以通過excel的方式進行導入。同時也會對CMDB中的數據做健康性檢查,包括完整度打分、合規性打分以及正確性打分,也可以對某些數據做補全和修復。

圖18:ServiceNow CMDB健康度檢查

也可以對資產的配置信息進行查詢,並對查詢結果進行可視化顯示。

圖19:ServiceNow產品查詢結果展示

ServiceNow的資產發現模塊,通過在內網環境中某臺機器上安裝一個軟件,染過通過內網掃描的方式發現各種資產,針對不同的資產使用不同的協議進行信息收集。同時也可以通過其他雲平臺的接口接入雲計算的相關資源,甚至包括Red Hat的OpenShift和Nutanix的超融合架構。

Lansweeper

Lansweeper是一家比較純粹的做資產管理的公司,產品主要分了三個模塊:資產發現,資產清點和資產分析。針對於資產發現,手段比較多樣,有被動的網絡發現,也有主動的網絡發現,同時也有基於agent方式發現更細節的資產信息,也能夠對接各種平臺。對接的資產方面也很全面,有本地的資產,也有云端的資產,甚至有移動端的資產。

資產清點的內容包括了虛擬機的資產信息,交換機的端口映射信息,性能數據,授權信息,設備相關信息,還包括windows事件日誌信息以及註冊表和文件信息。

圖20:Lansweepe產品資產管理圖

最後一步分析,主要是報表等Dashboard之類的展示,也有漏洞和補丁相關的信息。也可以做到篩選和查詢相關的功能。整體產品感覺比較樸素,設計上沒有下太多功夫。

圖21:Lansweepe產品報表及展示圖

Device42

Device42的產品有一定的特色,尤其在可視化層面。從數據中心的資產開始,比如有機房的佈局可視化、機架的結構圖以及硬件面板的連接關係展示以及編輯。這個是DCIM領域的產品。

圖22:Device42產品可視化界面

其他的對接的內容也類似,跟雲平臺的對接和運維工具可以對接。設備類型的信息也是比較標準的內容,可以查詢可以瀏覽,也有資產自動發現的功能。根據netflow的數據做的相關應用依賴的拓撲圖,同時也有IP地址管理。

圖23:Device42設備信息說明

其產品概括起來,就是個強大的CMDB,產品結合了自動發現、應用依賴、DCIM、ITAM和IPAM的內容。

4

總結

本文主要在從網絡安全的角度來看待資產管理,主要分爲三個部分:第一部分,主要講解了相關國外主流標準中資產管理的位置以及如何進行資產管理;第二部分,結合筆者的理解試圖設計一種比較全面的資產管理的總體架構,主要分了資產收集、資產數據以及資產功能三個方面;最後一部分,選擇了比較主流的安全角度資產管理的三家廠商和運維角度資產管理的三家廠商對他們的產品進行了相關的描述。資產管理是網絡安全領域重要的起點功能,資產掃描也是攻擊者進行攻擊的第一步,對於自身資產的理解是做好網絡安全的根基。最終目的是提高資產的可見性,降低資產的風險性,保證資產的合規性。引用國外的一句話:你保護不了你看不見的資產。

來源:安全噴子

相關文章