前言

現(xiàn)在的網(wǎng)絡(luò)環(huán)境，威脅跟隱患越來越多，不是今天哪個(gè)框架又有遠(yuǎn)程代碼執(zhí)行漏洞了?明天哪個(gè)外網(wǎng)服務(wù)器又開放新的高危端口了?哪個(gè)系統(tǒng)又被黑了?如此頻繁的應(yīng)急事件出現(xiàn)，趕緊手忙腳亂的找系統(tǒng)負(fù)責(zé)人，找了大半天沒找到，心急如焚，這時(shí)候就想著，要是有一份詳細(xì)準(zhǔn)確的資產(chǎn)管理表就好了，那樣該省多少事，聽說CMDB建設(shè)都一兩年了，沒看到影子，等到CMDB上線，估計(jì)黃花菜都涼了，好吧，求人不如求己，還是自己動(dòng)手得了。

一、目的

我們做資產(chǎn)管理都是從需求出發(fā)，因此資產(chǎn)管理的目的就以下兩點(diǎn)：

• 事中的入侵檢測
• 事后的審計(jì)與事件排查

二、資產(chǎn)整理

既然準(zhǔn)備做資產(chǎn)管理，那第一步肯定需要目前企業(yè)資產(chǎn)的詳細(xì)情況，因此我們可以從以下幾個(gè)方面開始準(zhǔn)備：

• 梳理資產(chǎn)類型;
• 與各類資產(chǎn)對接人，確認(rèn)所需字段，統(tǒng)一各類資產(chǎn)表;
• 收集已有資產(chǎn)數(shù)據(jù);
• 錄入資產(chǎn)管理系統(tǒng);
• 確認(rèn)各類資產(chǎn)變更流程;
• 優(yōu)化變更流程，實(shí)現(xiàn)自動(dòng)化變更資產(chǎn)，保持資產(chǎn)實(shí)時(shí)更新。

1. 資產(chǎn)類型

目前我們主要對這幾類資產(chǎn)進(jìn)行管理，包括IP網(wǎng)段、域名、內(nèi)網(wǎng)服務(wù)器資產(chǎn)、外網(wǎng)服務(wù)器資產(chǎn)、應(yīng)用系統(tǒng)資產(chǎn)、終端資產(chǎn)，每類資產(chǎn)都可以從字段內(nèi)容確認(rèn)、數(shù)據(jù)來源、更新機(jī)制、后期優(yōu)化幾個(gè)方面考慮。

2. 資產(chǎn)字段

3. 資產(chǎn)的來源

每一種資產(chǎn)在公司的內(nèi)部流程中都會(huì)有專門的人員管理，那我們可以與對應(yīng)的負(fù)責(zé)人溝通，采用統(tǒng)一的資產(chǎn)管理系統(tǒng)，確認(rèn)更新機(jī)制，這樣才能保證資產(chǎn)能實(shí)時(shí)更新，例如，我們將資產(chǎn)管理系統(tǒng)中新建域名的頁面嵌入域名申請流程中，那樣當(dāng)有人員申請域名時(shí)，必須填寫對應(yīng)的信息后，流程才能通過，這可以要求域名管理人進(jìn)行控制與審核，域名下線也可以一樣進(jìn)行處理。

三、資產(chǎn)監(jiān)測

已知資產(chǎn)梳理完成后，接下來肯定需要對未知資產(chǎn)進(jìn)行管理，但如何發(fā)現(xiàn)未知資產(chǎn)呢?如果管理未知資產(chǎn)呢?這是企業(yè)資產(chǎn)管理的難點(diǎn)，也是重點(diǎn)，從過去的經(jīng)歷來看，因未知資產(chǎn)導(dǎo)致的安全事件并不少見，也沒少被領(lǐng)導(dǎo)請去喝茶，為盡量減少跟規(guī)避此種情況出現(xiàn)，可以從以下幾個(gè)方面考慮。

1. 資產(chǎn)發(fā)現(xiàn)

資產(chǎn)發(fā)現(xiàn)需要對一定范圍內(nèi)的主機(jī)或應(yīng)用系統(tǒng)指紋識別，包括操作系統(tǒng)版本、開放端口、提供的服務(wù)、服務(wù)版本等指紋進(jìn)行識別。

資產(chǎn)發(fā)現(xiàn)可以采用主、被動(dòng)資產(chǎn)發(fā)現(xiàn)方式相結(jié)合，主動(dòng)探測主要用于對未知網(wǎng)絡(luò)下的資產(chǎn)探測，包括網(wǎng)絡(luò)主機(jī)探測、端口探測掃描，硬件特性及版本信息檢測;被動(dòng)探測主要是指采集目標(biāo)網(wǎng)絡(luò)的流量,對流量中應(yīng)用層HTTP,FTP,SNMP等協(xié)議分析,從而實(shí)現(xiàn)對網(wǎng)絡(luò)資產(chǎn)信息的被動(dòng)探測，用于持續(xù)性的監(jiān)聽已知網(wǎng)絡(luò)下的未發(fā)現(xiàn)資產(chǎn)，并通過信息補(bǔ)全和深度掃描等方式完成資產(chǎn)屬性的補(bǔ)全。

實(shí)現(xiàn)方式：Masscan+Nmap

Masscan是大網(wǎng)段全端口掃描神器，就掃描速度來說應(yīng)該是現(xiàn)有端口掃描器中最快的，Nmap是基于響應(yīng)協(xié)議棧指紋的網(wǎng)絡(luò)資產(chǎn)探測工具的典型代表,Masscan進(jìn)行第一遍的快速掃描，然后在進(jìn)行Nmap(系統(tǒng)指紋信息是最全的)確認(rèn)服務(wù)，實(shí)現(xiàn)快速全端口掃描。

2. 掃描結(jié)果處理

四、資產(chǎn)運(yùn)營

資產(chǎn)最重要的還是全面性、準(zhǔn)確性、實(shí)時(shí)性的問題，如果這三點(diǎn)達(dá)不到，那應(yīng)急處置的時(shí)候會(huì)讓人頭疼，當(dāng)然這也不是一蹴而就的問題，需要逐步完善才行，我們可以從以下幾個(gè)方面去考慮：

• 統(tǒng)一每類資產(chǎn)的字段，避免各部門使用時(shí)存在紕漏;
• 建議采用資產(chǎn)管理系統(tǒng)的方式進(jìn)行存儲(chǔ)與查詢，有條件的單位可以創(chuàng)建CMDB;
• 嵌套入資產(chǎn)的變更流程中，包括新資產(chǎn)申請，下線，更換等方面，從源頭控制;
• 采用自動(dòng)化的腳本或者程序去執(zhí)行變更操作，人工審核或機(jī)器智能判斷，保證實(shí)時(shí)性。

這是在CMDB建設(shè)好之前，我們采用的臨時(shí)解決方式，還有很多地方需要完善的跟優(yōu)化的，但總體保證應(yīng)急響應(yīng)資產(chǎn)準(zhǔn)確率在90%以上，相比之前的excle表格維護(hù)，各資產(chǎn)分散不集中，數(shù)據(jù)不完整，已經(jīng)提升了好幾個(gè)檔次，也為接下來的CMDB建設(shè)提供一定的數(shù)據(jù)與流程基礎(chǔ)，希望后面CMDB不會(huì)讓人失望，感興趣的小伙伴可以一起交流，分享。