全量安全资产管理-进阶实践｜安全村

极思 .

极思：分析安全建设痛点，共享安全建设方案。

一、前言

感谢依然还在的你，90余天未更新，关注量未降反增。努力多分享能一起成长的内容，不负大家的关注。比❤️。

每一个做安全资产管理的同学们，都一个终极梦想，那就是掌握所有信息资产。为什么要掌握所有的安全资产呢，因为做防守的同学们有一个逻辑，掌握全量资产才有可能掌握资产上的风险和隐患。为什么说是梦想呢？每一代想挑战安全资产管理的人也不少，关于安全资产管理的实践也多如牛毛，但至今未见圈内有最佳实践。可见做好安全资产管理的难度不是一般的大。此前有些实践基础，文章定名进阶实践。可参考文章如下。

【极思】资产管理：安全人员的自救实践

【极思】安全资产管理痛点思考

二、为什么要做

第一、解决安全度量中的覆盖率计算问题。

覆盖率计算时，需要全量的资产作为分母。比如，终端上的网络准入、防病毒、EDR等。服务器上的防病毒、HIDS等。统计安全度量数据时，资产是分母。没有全量资产，统计出的度量数据，没有公信力。

第二、解决漏洞情报响应中的资产定位和影响分析问题。

前两年曾设想过，漏洞情报出现时，如果能直接关联资产数据，可直接确定受影响范围，再配合SOAR直接分发工单。受漏洞利用条件、资产数据不完整的影响，一直不曾实现。

在响应过程中，还被质问「我的Java版本不受影响，为啥发工单给我？」。问题是收到漏洞情报响应时，需要有软件、中间件、JAR包的版本号判断影响范围。需要有启动用户、关联软件版本、配置文件、插件版本等资产判断是否可利用。需要互联网开放情况判断处置优先级。天知道你是啥配置啊？

第三、解决告警处置中的人员、资产定位问题，为分析提供支撑。

出现入侵告警时，需要有资产负责人的姓名、电话、IAM账号、人员经理信息，沟通确认是否为攻击行为，排查是否为误报（有可能是员工操作）。若非员工操作，确认为攻击者行为，排查被攻击的漏洞是否存在（有可能是扫描器），需要有软件、中间件、框架、组件、JAR包等资产信息支撑。

第四、解决事件响应中的漏洞定位问题，为分析提供支撑。

如有攻击成功，进入响应阶段。需要排查进程、端口、启动项、文件Hash、文件签名、系统日志等信息，确认是否被安装后门。分析攻击者是否横向移动时，需要排查周边设备的漏洞情况、安全防护情况，分析可能的影响范围。

第五、解决运营过程中资产无法自动化查询的问题。

较多的安全系统都会有资产查询需求，无资产API查询时，只能通过手工查询定位系统的负责人信息。比如，自动化运营场景中，每个流程都有多个步骤，每个步骤有多个查询，任意一个资产信息查询无对应API时，均会导致流程自动化断层，自动化运营系统的价值会大打折扣。

第六、安全运营未来发展和进化支撑。

安全运营的发展和进化，和打游戏时的科技树一样，没有基础能力时，很多高阶能力是无法真正实现的。比如，近期的零信任，前期的态势感知，由于没有强有力的基础能力支撑，被玩成了圈内的笑话。小到安全能力有效性、安全设备巡检，大到实现零信任、安全大脑、智能决策、UEBA等，均会受到影响。

三、解决方案思考

事物发展循环：从无到有，从有到多，从多到合。安全资产管理阶段：

阶段一，从无到有，各团队询问更新，自维护本地表格时代。2017

阶段二，表格量大无法维护，升级为简单查询的在线系统。2018

阶段三，系统数据源不够，增加自主发现（扫描和监测）。2019

阶段四，系统+自主发现仍无法覆盖全量资产提出SCMDB。2020

阶段五，大数据平台式解决思路，安全资产管理中心。2021

阶段六，安全资产管理关联漏洞、隐患等的攻击面管理（ASM）。2022

阶段七，设备、用户、系统画像+攻击者画像，全景联动分析。2023

在2019年左右，我们处在阶段四，向阶段五进发，没有理论上可行的思路。有个朋友兴奋的向我介绍 2019年RASC创新沙盒冠军 Axonius ，同时表示打通各系统是个非常难搞定的事，最终放弃了。2020年，我们完成SOAR上对接各种系统和设备，开始与国内多家创业公司接触，期望能共同研发类似的产品，解决资产管理的大痛点。

2021年与多家企业沟通后，在应用场景、产品定位、设计理念、核心能力、同步方式、数据结构等方面达成一致。直到2022年产品才得以落地，经过运营人员实际应用，又对产品进行打磨优化。

四、最终实现效果