前言
1、为什么要做资产梳理?(WHY)
2、梳理什么?(WHAT)
知己知彼百战不殆。所谓知己,就是要了解自己的资产以及这些资产的脆弱性,知彼就是了解外部威胁及威胁所使用的手段。知己的前提就是要对资产进行梳理,了解你要保护的对象,以及对象自身存在的安全漏洞,才能有针对性的做好预防措施。攻击者所想要利用的信息,单位机构内部一定要自己知道,这样才能做好及时加固防护,因此根据攻击者现主流攻击的目标及目标相关信息确定梳理的内容有如下:
1、根据需要可选择不同角度对资产进行资产分类和分级,摸清楚哪些是重要资产。
2、收集明确归口的信息系统资产信息:(数据库,中间件、群件系统、各商业软件平台、后台地址、使用框架、敏感目录等)。
3、 统一排查发现未确定归口部门的资产与废弃资产,确定其归口管理部门。
4、 梳理资产对应的开放端口、服务,并明确其用途。
5、梳理业务数据流向,理清楚业务之间的逻辑关系和数据流转时与其他资产(硬件、软件、网络等)之间的关联性。
6、 梳理易受攻击应用系统目标(重点资产)。
7、 梳理存储敏感数据(用户数据、源代码数据)的资产。
8、 梳理现在安全防护资源。
3、怎么做梳理?(HOW)
资产梳理总体流程:
1、人工确认资产列表或通过资产管理工具导出资产信息。
2、资产信息核对,补充和更新如端口、服务、补丁版本、更新时间、责任人、重要性等,对未知资产确认归口,完善全部信息。
3、对未知资产进行归口,更新和确认归口,输出最新资产列表。
4、对废弃资产进行排查,消除安全隐患。
4、输出物
资产列表是资产梳理的最终输出,为后续漏洞扫描、基线配置等提供基础信息。资产包括机房设备、网络设备、应用服务器、安全设备、虚拟化平台、中间件、业务系统、数据资产等,根据不同的视角,可以建立不同角度的资产表。
示例:(包括但不限于以下内容)
硬件资产信息:设备名称、厂家(维保厂家)、IP地址、MAC地址、物理商品信息、拓扑结构、硬件版本号、安全策略、特征库升级记录、巡检记录、维修记录、机房位置、责任人、承载业务、重要性赋值(CIA)等。
软件资产信息:业务系统名称、开发单位名称、安全定级信息、操作系统类型及版本、数据库类型及类型、网络安全管理员、数据安全管理员、账号及权限信息、业务关联性、重要性赋值(CIA)、使用端口信息等。
数据资产信息:数据收集来源、存储位置、数据类别、公开范围、账号及权限信息、数据使用者角色、是否个人信息、是否重要数据或涉密数据、重要性赋值(CIA)等。
5、总结
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...