信息安全三分建设七分运营,安全运营第一步是梳理清楚资产,做到日常运营心中有数。从安全防护维度可以分为网络、虚拟化/云平台、操作系统、数据库中间件、应用系统、安全管理平台等几个维度。从物理区域上往往资产分部在不同位置,比如分支机构、总部办公网、数据中心、公有云。下面探讨下如何从安全防护维度结合物理区域梳理清楚安全资产。
网络层面
对外,需要梳理清楚公网IP,以及每个IP对外开放的端口,如果有NAT映射,也需要梳理处理NAT映射表
对内,需要梳理清楚网段信息、VLAN信息、网络区域划分信息
网络设备信息,包括品牌型号、IOS版本、是否有维保等
安全防护策略,比如是telnet、ssh、web管理,是否有ACL限制等
注意点:
云上逻辑也是一样的,云上会有VPC、弹性负载均衡等,都需要梳理清楚
对于办公网,往往还有无线网络,需要梳理访客网络、员工办公网网络、IT网络、DMZ区等
对于分支机构,也需要梳理清楚分支机构的公网IP、网段、无线网络信息等
虚拟化/云平台
虚拟化平台版本、授权信息
虚拟化平台的网络划分信息
虚拟化平台的账号密码管理策略
虚拟化平台的管理平台是否有ACL防护
云平台账号信息,比如是否有子账号,是否开启MFA等
云平台的VPC、ACL、安全组信息
云平台的账号密码管理策略
注意点:
虚拟化/云平台的管理账号权限巨大,对整个安全至关重要,需要梳理清楚
操作系统
操作系统版本,授权信息等
操作系统资源配置、IP、进程、端口信息等
操作系统防护信息,比如是否安装杀毒软件、EDR、主机安全软件等,是否有流量分析平台防护
账号密码管理策略
注意点:
服务器需要梳理清楚补丁更新情况,主机层面的安全防护情况,流量分析平台是否覆盖
终端需要梳理清楚补丁更新情况,杀毒软件、EDR防护情况,软件安装是否有管控,网络准入、流量分析平台、上网行为管理、数据防泄漏等安全平台的覆盖情况
数据库中间件
版本,授权信息等
IP、进程、端口信息等
账号密码管理策略
集群配置信息
数据备份策略信息
安全防护策略,比如是有权限管控,是否有ACL限制等
注意点:
数据库中间件一般只监听到内网,并且需要有网络ACL限制
应用系统
版本,授权信息等
IP、进程、端口信息等
账号密码管理策略
数据备份策略信息
安全防护策略,比如是有权限管控,是否有ACL限制等
管理人信息,出现紧急情况的时候需要能够找到管理人
应用系统的域名、HTTPS证书情况,包括到期时间等
注意点:
系统哪些人需要访问,需要梳理清楚,对内的系统,原则上只能部署在内网上,移动需要可以通过VPN
系统如何维护需要梳理清楚,比如供应商维护的系统,供应商是如何登录的,有没有管控措施。对于自研系统,原则上研发人员也不能随意登录生产环境。
安全管理平台
杀毒软件平台,版本、病毒库更新情况、授权情况,覆盖情况
EDR平台,版本、更新情况、授权情况,覆盖情况
数据防泄漏平台,版本、授权情况,覆盖情况
网络准入平台,版本、授权情况
上网行为管理平台,版本、授权情况
流量分析平台,版本、授权
主机安全平台,版本、更新情况、授权情况,覆盖情况
WAF平台,版本、更新情况、授权情况,覆盖情况
蜜罐平台,版本、更新情况、授权情况,覆盖情况
日志分析平台,版本、授权情况,覆盖情况
云安全中心的授权情况,覆盖情况
其他安全平台的版本、授权情况,覆盖情况
注意点:
安全运营依靠安全平台,所以安全平台的梳理是重中之重
有些企业的安全平台可能比较少,在安全运营的前期首先应该是把已有的安全平台潜力全部挖掘出来,然后在根据需要增加安全设备
资产梳理如何梳理?
下一个问题,资产梳理如何梳理?如果有CMDB之类的平台当然好,实际是经常碰到资产就是依靠excel维护,即使有CMDB也更新不及时。这时候要依靠访谈、扫描、登录三种途径。
访谈是对管理人员的访谈,了解日常资产基本信息、资产管理流程、账号密码管理策略、备份策略等。
扫描就是依靠扫描工具,从内外部全面扫描,采集信息。
登录可以分为几类。
首先是虚拟化、云平台的登录及信息收集,通常情况下,在虚拟化、云平台可以采集到非常丰富的细心,比如操作系统、数据库中间件、应用系统的版本、IP、端口等信息。
其次是操作系统的登录,可以通过工具和脚本采集到比要的信息。
第三是安全平台的采集,比如主机安全平台有被管理主机的资产信息,包括进程、端口等信息。
俗话说磨刀不误砍柴工,梳理资产是安全运营的第一步,对要防护的资产了然于胸,才能更好的做好安全运营,提升安全防护水平。另外,安全资产是不断在变化的,需要定期梳理,对于变化是常态的企业,需要考虑通过工具实时采集信息。
网友评论