本帖最后由 会飞的鱼儿 于 2024-5-24 12:55 编辑
网络中最基础的元素是各种各样的资产,只有资产是有血有肉的,如何摸清资产也是一个很重要的话题了,为什么这么说了,因为和同行,和客户聊,很多单位的资产是混乱不清的,各种各样的产品和系统都有,但还是不清不楚的,那为什么连个网络内的资产搞不清了。
那我们先从如何摸清资产开始,客户通过人工登记的方式掌握了相关资产信息,采取手动录入和批量导入的方式添加资产信息。客户通过使用网络扫描的方式获取资产信息。客户通过流量审计设备解析流量协议,获得活动资产信息。客户通过安全产品日志获取资产信息。客户通过第三方系统对接,获得相关资产信息。获取的方式多种多样,很多单位反反复复出现资产不清楚的情况。技术相当来说都是成熟的,正说明摸清资产是件不容易的事,不单单是技术下的问题,资产始终是动态变化的,正因为这样,不能用一成不变的思路去完全通过技术去解决资产问题,更多的情况是如何利用技术并结合管理才能解决问题,管理靠的人,只要是人,就有麻痹大意的时候,就有思想松动的时候,即使再好的技术保障也解决不了动态变化的问题,特别政府、企事业单位,很多网络内资产是没有梳理清楚,过于依靠技术和产品,而忽视本身管理和求根溯源的工作方法和思路,所以说人性漏洞是网络安全最大的隐患。
资产理不清道不明就是网络安全最大风险,是网络安全中最基础的一环,也是最重要的一环,绝大部分的网络攻击还是使用已知漏洞和方法在攻击,那更应当把资产的属性、权限、脆弱性,可能的威胁及风险全部梳理清楚,从动态管控的思路去跟踪、了解和保护资产。通过资产的基本属性去了解资产是什么,就像人的一个基本信息概括,通过权限去了解资产拥有的各种赋予的权限,通过脆弱性去了解资产存在的安全问题,就如人通过体检,了解自己的身体状况,知道该怎么求医,知道将来可能会演变的趋势。通过威胁去了解资产根据各方面的分析可能受到的攻击,就像蚕豆病人不能吃蚕豆一样,通过综合分析,给资产一个量化评分。从资产风险的角度去动态管控资产。
不管是攻击面,还是安全验证,都是基于风险视角去看待资产面临的问题,如果说先进的理念和技术能带来改变的话,我想不尽其然,这是一个伪命题,忽视了人的重要性,想想这么多年网络安全建设,很多政府、企事业单位的网络还是面临很大风险,人浮于事,应付差事成了日常工作常态,在安全建设初期,激情满满,口号一堆,一旦过了一定周期,都像泄了气球,躺平成了常态。就像对越自卫反击战中一样,在猫儿洞呆着,每天生活压力和精神压力很大,天天崩着弦,时时刻刻防备越军的偷袭,一旦时间长了,大家的崩着弦也就放松了。
这些安全项目的建设,如果没有甲方努力配合,严格管理,光靠这些技术和理念,也是成效甚微,人是安全中最大的风险,项目整个过程需要甲方上中下领导的强力支持,所以说安全项目建设的成败一半在甲方,一半在乙方。总之,从动态风险的角度去看问题,把最基础的工作做好做扎实,执行力是关键,时刻崩着安全的弦,高谈阔论,不如低头稳步前行。 |