昨天���, RSAC2019 創(chuàng)新沙盒大賽結(jié)果揭曉,很意外地評出了主打網(wǎng)絡安全資產(chǎn)管理的公司——Axonius為本屆冠軍�����,讓國內(nèi)各種競猜活動的參與者們大跌眼鏡,連呼沒想到��。RSAC創(chuàng)新沙盒的年度大賽素有“全球網(wǎng)絡安全行業(yè)產(chǎn)業(yè)的風向標”之稱�����,本屆RSAC對于Axonius的青睞頗耐人尋味�。國人眼中這么“普通”、“沒什么技術(shù)含量”�、“純體力活兒”的“資產(chǎn)管理”業(yè)務,竟然幫助Axonius 成為了本屆RSAC創(chuàng)新沙盒大賽的年度冠軍�!令筆者第一次感覺到網(wǎng)絡安全界終于開始務實起來了,開始注重基礎工作了��。
資產(chǎn)管理�,看起來沒什么技術(shù)含量,是很多人不屑于從事的安全工作�����,又或者是某些人眼中大量開源軟件的堆砌�。但其實國內(nèi)的網(wǎng)絡資產(chǎn)梳理工作早就如火如荼的開展起來了,作為網(wǎng)絡安全資產(chǎn)摸底����、資產(chǎn)治理領(lǐng)域的一名老兵�����,接下來筆者將分幾篇文章和大家聊聊這幾年在網(wǎng)絡資產(chǎn)安全戰(zhàn)斗中踩過那些坑以及背后的心得體會。
網(wǎng)絡資產(chǎn)管理是網(wǎng)絡空間治理的基石
網(wǎng)絡空間作為繼陸�、海、空����、天之后的“第五疆域”,已成為當前世界各國爭奪的戰(zhàn)略焦點�。我國已經(jīng)成為網(wǎng)絡大國,智慧城市�、數(shù)字中國、互聯(lián)網(wǎng)+等技術(shù)浪潮正在改造傳統(tǒng)的生產(chǎn)和生活模式����,網(wǎng)絡安全也成為事關(guān)國家安全、國家發(fā)展和廣大人民群眾工作生活的重大戰(zhàn)略問題�����。
4.19講話上指出“維護網(wǎng)絡安全���,首先要知道風險在哪里�����,是什么樣的風險�����,什么時候發(fā)生風險”���。工作重點是“摸清家底����,認清風險���,找出漏洞�,通報結(jié)果���,督促整改”��??梢?ldquo;摸清家底”�,也就是通過各種技術(shù)手段實現(xiàn)網(wǎng)絡空間設備的描述和識別,是網(wǎng)絡安全工作的重中之重�,是網(wǎng)絡空間安全治理的基石���。(此觀點與本屆創(chuàng)新沙盒大賽冠軍Axonius公司“You Can't Secure What You Can't See”的理念一致)
網(wǎng)絡空間中網(wǎng)絡數(shù)字資產(chǎn)的現(xiàn)狀
眾多網(wǎng)絡安全人員較為緊張的莫過于突發(fā)性的“黑客事件”���,尤其是當那些集中爆發(fā)且聲勢浩大的黑客攻擊發(fā)生時����,各家網(wǎng)絡安防人員無疑會高度戒備�����,嚴陣以待���。通過對安全攻擊事件進行持續(xù)的跟蹤和分析��,盛邦安全發(fā)現(xiàn)�,從安全攻擊的目標行業(yè)來看���,在近三年發(fā)生的400多起攻擊事件中����,教育行業(yè)占比達到55%���,政府行業(yè)占43%��。在剛過去的2018年��,政府類占比14%, 教育類占比19%�����, 企業(yè)占比49%��。針對教育行業(yè)�����,盛邦安全選取了包括 985/211院校����、重點院校、普通院校���、高職���、普教5大類近百個教育機構(gòu)進行調(diào)研,通過被動流量學習進行Web資產(chǎn)梳理和數(shù)據(jù)分析����。
數(shù)據(jù)顯示����,已知系統(tǒng)資產(chǎn)數(shù)量占比資產(chǎn)總數(shù)分別為:
可見���,即使是資產(chǎn)管理方面做得比較好的211/985院校,已知資產(chǎn)數(shù)量也僅占所有資產(chǎn)的55%, 仍然有45%的資產(chǎn)是未知的�。進一步研究發(fā)現(xiàn),這些未知資產(chǎn)的構(gòu)成主要為:
(1) 高端口資產(chǎn)占10%(就是做了端口轉(zhuǎn)換的資產(chǎn)):高端口是防火墻或者部分實驗室做了端口轉(zhuǎn)換的業(yè)務系統(tǒng)��、網(wǎng)站等��。
(2) 業(yè)務系統(tǒng)占11%:這些業(yè)務系統(tǒng)由教學�、教輔系統(tǒng)組成,部分使用域名訪問��,部分沒有進行備案登記��。比如�,常出問題的高校迎新管理系統(tǒng)、OA系統(tǒng)�、就業(yè)管理系統(tǒng)、圖書館管理系統(tǒng)等等�。
(3) 網(wǎng)絡設備/網(wǎng)絡安全設備占3%:分別是機房管理系統(tǒng)����、交換機�����、路由器�����、網(wǎng)絡防火墻����、上網(wǎng)行為管理、流控設備����、計費系統(tǒng)等。
(4) 中間件占2%:指安裝了中間件系統(tǒng)����,但是默認頁面可以對外訪問的資產(chǎn)。這類默認頁面常常會造成信息泄露���,從而導致安全問題�。
(5) 疑似業(yè)務系統(tǒng)占10%:對這類系統(tǒng)分別訪問和確認,發(fā)現(xiàn)由打印機����、攝像頭、電梯管理系統(tǒng)����、門禁卡管理系統(tǒng)、大屏控制系統(tǒng)等物聯(lián)網(wǎng)設備組成����。隨著高職院校���、普教等機構(gòu)的數(shù)字化校園的不斷推廣��,這部分占比很高����。
基于對教育行業(yè)抽樣調(diào)研和統(tǒng)計數(shù)據(jù)可知�,廣域網(wǎng)網(wǎng)絡資產(chǎn)不清造成的危害是很嚴重,也是很棘手的:要知道�����,目前安全管理和技術(shù)手段已經(jīng)層層疊加,但仍然還會有大量未知資產(chǎn)的存在�,這不得不讓我們警惕。
盛邦安全經(jīng)過詳細的技術(shù)分析�����,認為主要原因有:
1)業(yè)務多
業(yè)務部門眾多����,導致需求不一致,記事本模式的資產(chǎn)管理方式不能及時跟進系統(tǒng)變化��。
2)新技術(shù)
云平臺����、虛擬化的大量使用,數(shù)據(jù)中心變化成為常態(tài)�����,沒有新的資產(chǎn)管理方式�。
3)突發(fā)性
因為某個活動而建立的系統(tǒng),當活動結(jié)束后�����,系統(tǒng)沒有及時退運。
4)管理員制度
當管理員更替時�,交接不徹底,或者多次交接��,導致系統(tǒng)變?yōu)榻┦到y(tǒng)�����。
解決以上問題的關(guān)鍵����,最終還是要回歸到是否能夠做到對自身網(wǎng)絡資產(chǎn)“知根知底”,是否能夠真正做到可知�、可控、可管���,快速定位風險,并將威脅消滅在萌芽之中��。網(wǎng)絡資產(chǎn)識別是網(wǎng)絡空間治理的基石����,只有先把這步走好了,才能談得上后續(xù)對網(wǎng)絡空間的治理。
資產(chǎn)治理系列將分幾篇文章陸續(xù)分享����,接下來還將為大家?guī)砭W(wǎng)絡資產(chǎn)管理的方法論以及資產(chǎn)管理如何與業(yè)務相結(jié)合的深度解讀。敬請期待�����。
