众所周知,如果没有完整的、详细的主机资产清单,安全运维团队就无法确保组织的安全,因为任何人都无法保护“未知”东西的安全。虽然在过去很长一段时间内,在定义网络边界后,在封闭的IT环境中,对所有硬件、软件和网络元素进行统计和监视还是可控的。
不幸的是,那已经属于过去时。随着云计算、移动设备、物联网等技术的快速发展,传统网络边界已经不复存在。因此,编制一份完整的资产清单并使之保持最新状态变得更加困难和复杂。随着那些资产盲点在网络环境中成倍增加,黑客入侵、数据泄露、恶意软件感染以及不合规的风险也在成倍增加。
这也是为什么互联网安全中心(CIS)在新发布《*安全控制》报告中,将“授权和未授权设备及软件的清点”放在前两位。互联网控制(CIS)在报告中表示,如果采用下述这五种控制方式,组织可以将遭受的网络攻击风险概率降低85%。在报告中排名前5的控制项分别是:
硬件资产库存与控制;
软件资产库存与控制;
持续的漏洞管理;
控制管理员权限的使用;
保护移动设备、笔记本电脑、工作站和服务器上软硬件的配置。
换句话说,使IT资产清单保持正确是至关重要的。上文CIS控制项1和控制项2,表明对网络上设备的全面了解,是减小公司攻击面的第一步,资产清点是夯实公司系统安全最关键的一步。毕竟,如果不知道自家网络上都有些什么,也就谈不上跟踪这些资产了。主机作为资产最丰富集中地,确保能够实时、清晰地了解其资产整体情况更是不容忽视。
主机环境的完全可见性
系统必须为自己组织的所有主机资产(包括硬件和软件)提供全面的可见性。如果没有这种广阔的全景视图,就无法正确地保护主机的安全。比如自己企业组织中有哪些服务器,分别运行什么软件,它们是如何打补丁的?如果你不知道自己拥有什么,就很难回答上述这些基本问题。主机资产的可视化为主机环境、应用脆弱之处、部署防御等都提供了坚实的基础。
目前国内已经有一些领先安全厂商在资产清点方面做出了令人惊喜的成绩。例如青藤资产清点,只需要在主机上安装轻量级Agent,就可以持续主动地从主机中收集各种数据,并将其提供给安全引擎进行分析。在这个平台上,这些信息被聚合、索引、关联和分析。
青藤的资产清点拥有强大的搜索引擎,能够在几秒钟内解决简单或复杂的查询,帮助客户轻松了解主机上资产情况,比如:
机房中有多少台主机来自某个品牌 ?
有哪些主机资产受到特定漏洞的影响?
哪些主机安装了特定的软件?
……
除此之外,搜索中使用多个条件的组合可以在更窄的范围内进行运行查询,如下图所示,通过筛选可以看到有多少台主机部署在机房7-313机房中,以及在Mary名下的主机数量。
资产的深度可视化
当然上述这种持续的数据收集和发现过程仅是实现主机资产清单流程的第一步,如果收集的数据都很浅显,那么拥有完整的主机资产列表也是远远不够的。信息安全团队需要深入了解主机资产,包括硬件规格、已安装的软件、已批准的账户、root权限和安装包等。青藤资产清点系统为这些数据点建立索引,可以组合其中几个数据点进行查询,从而获得与资产清单相关的特定问题的答案。
深度的资产可视化为组织提供了每个资产的多维视图。当然如果要编译这样详细的资产清单,就必须通过自动化方式收集整合所有的主机资产信息:
1. 主机基本信息:包括主机名,主机IP等,还包括主机管理信息(业务组,负责人,机房位置,标签)、固定资产编号;
2. 系统硬件清理:包括系统内核,CPU,内存,硬盘,磁盘使用分布等各类硬件信息;
3. 所有安装的软件:包括应用程序、驱动程序、实用程序和插件以及各自的版本;
4. 虚拟环境细节,包括镜像
5. 批准的用户帐户,并记录他们的登录状态
6. 开放的端口
提供资产关联能力
如果无法对资产数据与风险发现和入侵检测关联,那么资产列表的价值也是有限的。因为每天都有新的漏洞被发现,旧的漏洞可能会在某个时刻变得更加危险,例如它们包含在黑客的攻击工具包中。
研究表明,黑客入侵风险在一周内达到中等水平,而当一个关键系统的漏洞持续存在一个月或更长时间时,这种风险就会变得很高。SANS研究所在最近一项关于持续监控实践的研究中指出,关键的漏洞最好在一天或更短的时间内得到补救。青藤的产品以资产清点作为数据支撑平台,为每项资产提供完整视图,与青藤自适应平台中的风险发现和入侵检测系统全面关联,实现一键查看,帮助机构组织快速查询,并在几秒钟内获得关于其安全性和合规性整体情况。
与此同时,如果某台主机感染了恶意软件或安装未经批准的软件,该主机可能很快就会从安全状态变为不安全状态,因此尽快标记这些主机,这样能为后续采取必要的行动来保护主机安全或者满足合规要求埋下伏笔。
有效弥补 CMDB 缺失信息
青藤资产清点另一个关键功能是能够与CMDB连接,并不断地向其提供新鲜、详细的数据。尽管许多CMDB实际上充当其企业的IT资产清单,但事实是,它们的信息常常是过时的。因为CMDB产品初衷是为编译初始资产清单而设计的,并不是为持续更新而设计的,对于安全运维人员来说,更新它是一件费时费力的事情。
青藤资产清点系统,能够不断检测关于新资产和更改资产的细粒度的数据,与 CMDB 系统关联,有效补充缺失的数据,提高管理者对整体资产把控能力。当CMDB的信息总是最新且全面的时候,它就能够更好地说明和映射IT资产之间的层次结构和依赖关系。这使得IT部门能够更有效地完成各种关键任务,例如变更管理、服务请求、事件响应、系统修复和影响分析。