• 安全运营之资产梳理
    信息安全三分建设七分运营,安全运营第一步是梳理清楚资产,做到日常运营心中有数。从安全防护维度可以分为网络、虚拟化/云平台、操作系统、数据库中间件、应用系统、安全管理平台等几个维度。从物理区域上往往资产分部在不同位置,比如分支机构、总部办公网、数据中心、公有云。下面探讨下如何从安全防护维度结合物理区域梳理清楚安全资产。
    网络层面
    • 对外,需要梳理清楚公网IP,以及每个IP对外开放的端口,如果有NAT映射,也需要梳理处理NAT映射表
    • 对内,需要梳理清楚网段信息、VLAN信息、网络区域划分信息
    • 网络设备信息,包括品牌型号、IOS版本、是否有维保等
    • 安全防护策略,比如是telnet、ssh、web管理,是否有ACL限制等
    注意点:
    • 云上逻辑也是一样的,云上会有VPC、弹性负载均衡等,都需要梳理清楚
    • 对于办公网,往往还有无线网络,需要梳理访客网络、员工办公网网络、IT网络、DMZ区等
    • 对于分支机构,也需要梳理清楚分支机构的公网IP、网段、无线网络信息等
    虚拟化/云平台
    • 虚拟化平台版本、授权信息
    • 虚拟化平台的网络划分信息
    • 虚拟化平台的账号密码管理策略
    • 虚拟化平台的管理平台是否有ACL防护
    • 云平台账号信息,比如是否有子账号,是否开启MFA等
    • 云平台的VPC、ACL、安全组信息
    • 云平台的账号密码管理策略
    注意点:
    • 虚拟化/云平台的管理账号权限巨大,对整个安全至关重要,需要梳理清楚
    操作系统
    • 操作系统版本,授权信息等
    • 操作系统资源配置、IP、进程、端口信息等
    • 操作系统防护信息,比如是否安装杀毒软件、EDR、主机安全软件等,是否有流量分析平台防护
    • 账号密码管理策略
    注意点:
    • 服务器需要梳理清楚补丁更新情况,主机层面的安全防护情况,流量分析平台是否覆盖
    • 终端需要梳理清楚补丁更新情况,杀毒软件、EDR防护情况,软件安装是否有管控,网络准入、流量分析平台、上网行为管理、数据防泄漏等安全平台的覆盖情况
    数据库中间件
    • 版本,授权信息等
    • IP、进程、端口信息等
    • 账号密码管理策略
    • 集群配置信息
    • 数据备份策略信息
    • 安全防护策略,比如是有权限管控,是否有ACL限制等
    注意点:
    • 数据库中间件一般只监听到内网,并且需要有网络ACL限制
    应用系统
    • 版本,授权信息等
    • IP、进程、端口信息等
    • 账号密码管理策略
    • 数据备份策略信息
    • 安全防护策略,比如是有权限管控,是否有ACL限制等
    • 管理人信息,出现紧急情况的时候需要能够找到管理人
    • 应用系统的域名、HTTPS证书情况,包括到期时间等
    注意点:
    • 系统哪些人需要访问,需要梳理清楚,对内的系统,原则上只能部署在内网上,移动需要可以通过VPN
    • 系统如何维护需要梳理清楚,比如供应商维护的系统,供应商是如何登录的,有没有管控措施。对于自研系统,原则上研发人员也不能随意登录生产环境。
    安全管理平台
    • 杀毒软件平台,版本、病毒库更新情况、授权情况,覆盖情况
    • EDR平台,版本、更新情况、授权情况,覆盖情况
    • 数据防泄漏平台,版本、授权情况,覆盖情况
    • 网络准入平台,版本、授权情况
    • 上网行为管理平台,版本、授权情况
    • 流量分析平台,版本、授权
    • 主机安全平台,版本、更新情况、授权情况,覆盖情况
    • WAF平台,版本、更新情况、授权情况,覆盖情况
    • 蜜罐平台,版本、更新情况、授权情况,覆盖情况
    • 日志分析平台,版本、授权情况,覆盖情况
    • 云安全中心的授权情况,覆盖情况
    • 其他安全平台的版本、授权情况,覆盖情况
    注意点:
    • 安全运营依靠安全平台,所以安全平台的梳理是重中之重
    • 有些企业的安全平台可能比较少,在安全运营的前期首先应该是把已有的安全平台潜力全部挖掘出来,然后在根据需要增加安全设备
    资产梳理如何梳理?
    下一个问题,资产梳理如何梳理?如果有CMDB之类的平台当然好,实际是经常碰到资产就是依靠excel维护,即使有CMDB也更新不及时。这时候要依靠访谈、扫描、登录三种途径。
    访谈是对管理人员的访谈,了解日常资产基本信息、资产管理流程、账号密码管理策略、备份策略等。
    扫描就是依靠扫描工具,从内外部全面扫描,采集信息。
    登录可以分为几类。
    首先是虚拟化、云平台的登录及信息收集,通常情况下,在虚拟化、云平台可以采集到非常丰富的细心,比如操作系统、数据库中间件、应用系统的版本、IP、端口等信息。
    其次是操作系统的登录,可以通过工具和脚本采集到比要的信息。
    第三是安全平台的采集,比如主机安全平台有被管理主机的资产信息,包括进程、端口等信息。
    俗话说磨刀不误砍柴工,梳理资产是安全运营的第一步,对要防护的资产了然于胸,才能更好的做好安全运营,提升安全防护水平。另外,安全资产是不断在变化的,需要定期梳理,对于变化是常态的企业,需要考虑通过工具实时采集信息。
     
    如有相关问题,请在文章后面给小编留言,小编安排作者第一时间和您联系,为您答疑解惑。
    «
    »
以专业成就每一位客户,让企业IT只为效果和安全买单

以专业成就每一位客户,让企业IT只为效果和安全买单