前言在当前的网络环境中,威胁和隐患越来越多。今天没有任何框架有远程代码执行漏洞吗?明天哪个外网服务器新开高危端口?哪个系统又被黑了?如此频繁的突发事件,我急忙去找系统负责人,找了半天也没找到。那会省去多少麻烦?听说CMDB建了一两年了,还没见影子。等CMDB上线,黄花菜估计要凉了。1.目的我们做资产管理是根据需要,所以做资产管理的目的有以下两点:事件中的入侵检测审计和事后的事件调查2.资产安排既然要做资产管理,第一步骤必须是当前企业资产的详细信息,所以我们可以从以下几个方面开始准备:梳理资产类型;将人与各种资产联系起来,确定必填字段,统一各种资产表;收集现有资产数据;进入资产管理系统;确认各类资产的变动过程;优化变更流程,实现资产自动变更,保持资产实时更新。1、资产类型目前我们主要管理这几类资产,包括IP网段、域名、内网服务器资产、外网服务器资产、应用系统资产、终端资产。每种类型的资产都可以从字段内容、数据来源、更新机制、后期优化等方面进行确认。2.资产领域3.资产来源每项资产在公司内部流程都会有专人管理,我们可以与相应的负责人沟通,采用统一的资产管理系统,确认更新机制,从而确保资产可以实时更新。例如,我们将资产管理系统中的新域名页面嵌入到域名申请流程中,这样当有人申请域名时,必须填写相应的信息才能通过该流程。这个可以需要域名管理员来管控,也可以像审计和下线域名一样处理。3、资产监控已知资产梳理完毕,接下来就要对未知资产进行管理,但是如何发现未知资产呢?如何管理未知资产?这是企业资产管理的难点和重点。从以往的经验来看,因资产不明引发的安全事件并不少见,领导请他们喝茶的情况也屡见不鲜。为了尽量减少和避免这种情况,可以考虑以下几个方面。1.资产发现资产发现需要对一定范围内的主机或应用系统进行指纹识别,包括操作系统版本、开放端口、提供的服务、服务版本等指纹识别。资产发现可以与主动和被动资产发现方法相结合。主动检测主要用于检测未知网络中的资产,包括网络主机检测、端口检测和扫描、硬件特征和版本信息检测;被动检测主要是指采集目标网络流量,分析流量中的应用层HTTP、FTP、SNMP等协议,从而实现对网络资产信息的被动检测,对已知网络下未发现的资产进行持续监控,并通过信息补全和深度扫描通过其他方式完成资产属性补全。实现方式:Masscan+NmapMasscan是一款针对大网段的全端口扫描器。就扫描速度而言,它应该是现有端口扫描器中最快的。Nmap是基于响应协议栈指纹的网络资产检测工具的典型代表。Masscan先进行快速扫描,再进行Nmap(系统指纹信息最全)确认服务,实现快速全端口扫描。2.扫描结果处理4.资产运营资产最重要的是全面性、准确性和实时性。如果不满足这三点,就会在处理突发事件时让人头疼。当然,这不是一朝一夕就能解决的问题,需要逐步完善,可以从以下几个方面考虑:统一每一类资产的字段,避免各部门使用失误;推荐使用资产管理系统进行存储和查询,有条件的单位可创建CMDB;嵌入资产变更流程,包括新资产申请、下线、置换等,从源头控制;使用自动化脚本或程序进行变更操作,人工审核或机器智能判断,确保实时性。这是我们在搭建CMDB之前采用的临时方案。需要改进和优化的地方还有很多,但应急资产整体准确率保证在90%以上。与之前的excel表格维护相比,资产分散不集中,数据不完整。升级了好几个级别,也为下一步的CMDB建设提供了一定的数据和流程基础。希望CMDB以后不会让人失望。有兴趣的小伙伴可以一起交流分享。
