【小鱼学安全】资产都摸不清还谈什么安全

网络中最基础的元素是各种各样的资产，只有资产是有血有肉的，如何摸清资产也是一个很重要的话题了，为什么这么说了，因为和同行，和客户聊，很多单位的资产是混乱不清的，各种各样的产品和系统都有，但还是不清不楚的，那为什么连个网络内的资产搞不清了。

  那我们先从如何摸清资产开始，客户通过人工登记的方式掌握了相关资产信息，采取手动录入和批量导入的方式添加资产信息。客户通过使用网络扫描的方式获取资产信息。客户通过流量审计设备解析流量协议，获得活动资产信息。客户通过安全产品日志获取资产信息。客户通过第三方系统对接，获得相关资产信息。获取的方式多种多样，很多单位反反复复出现资产不清楚的情况。技术相当来说都是成熟的，正说明摸清资产是件不容易的事，不单单是技术下的问题，资产始终是动态变化的，正因为这样，不能用一成不变的思路去完全通过技术去解决资产问题，更多的情况是如何利用技术并结合管理才能解决问题，管理靠的人，只要是人，就有麻痹大意的时候，就有思想松动的时候，即使再好的技术保障也解决不了动态变化的问题，特别政府、企事业单位，很多网络内资产是没有梳理清楚，过于依靠技术和产品，而忽视本身管理和求根溯源的工作方法和思路，所以说人性漏洞是网络安全最大的隐患。

  资产理不清道不明就是网络安全最大风险，是网络安全中最基础的一环，也是最重要的一环，绝大部分的网络攻击还是使用已知漏洞和方法在攻击，那更应当把资产的属性、权限、脆弱性，可能的威胁及风险全部梳理清楚，从动态管控的思路去跟踪、了解和保护资产。通过资产的基本属性去了解资产是什么，就像人的一个基本信息概括，通过权限去了解资产拥有的各种赋予的权限，通过脆弱性去了解资产存在的安全问题，就如人通过体检，了解自己的身体状况，知道该怎么求医，知道将来可能会演变的趋势。通过威胁去了解资产根据各方面的分析可能受到的攻击，就像蚕豆病人不能吃蚕豆一样，通过综合分析，给资产一个量化评分。从资产风险的角度去动态管控资产。

  不管是攻击面，还是安全验证，都是基于风险视角去看待资产面临的问题，如果说先进的理念和技术能带来改变的话，我想不尽其然，这是一个伪命题，忽视了人的重要性，想想这么多年网络安全建设，很多政府、企事业单位的网络还是面临很大风险，人浮于事，应付差事成了日常工作常态，在安全建设初期，激情满满，口号一堆，一旦过了一定周期，都像泄了气球，躺平成了常态。就像对越自卫反击战中一样，在猫儿洞呆着，每天生活压力和精神压力很大，天天崩着弦，时时刻刻防备越军的偷袭，一旦时间长了，大家的崩着弦也就放松了。

      这些安全项目的建设，如果没有甲方努力配合，严格管理，光靠这些技术和理念，也是成效甚微，人是安全中最大的风险，项目整个过程需要甲方上中下领导的强力支持，所以说安全项目建设的成败一半在甲方，一半在乙方。总之，从动态风险的角度去看问题，把最基础的工作做好做扎实，执行力是关键，时刻崩着安全的弦，高谈阔论，不如低头稳步前行。