Question

正所谓知己知彼，百战不殆。资产管理指基于一定的管理规范，通过管理工具或技术手段，由指定的角色和人员，记录组织所属的基础设施软硬件、机房环境、系统配置、业务配置等各种类型的 IT 系统软硬件资产的详细信息，并对资产信息的变化和异动进行监测和管理。记录信息的范畴，包括某个时间点的资产信息“快照”，也包括“快照”建立后所有资产信息的变更情况。从不同的角色和维度看资产，关注的信息点有所不同。财务人员从库存的角度看资产，关注资产清单上的实体资产和无形资产是否存在。系统工程师关注服务器的配置、可用性、资源余量，关注设备是否在保。网络工程师关注网络设备资源余量，关注网络拓扑的完整性和有效性，关注非法接入。而安全团队则是从安全运营管理的角度看资产，通过对资产属性进行安全管理，消除资产管理中的安全隐患，保障组织 IT 资产的安全性。

22.1.1　面临的问题

1.安全资产管理的重要性

资产安全管理可以分为主动安全管理和被动安全管理。在主动安全管理过程中，安全运营团队需要通过安全管理对资产全面了解，分析各个资产的脆弱性和资产潜在价值，通过定量分析或定性分析，计算各个资产的威胁度。通过资产暴露面分析和威胁度分析，为不同价值、不同环境中的资产制订并实施针对性的威胁解决方案。

在安全运营工作中，安全资产管理也起着关键作用，例如对 1day 漏洞的处置。在 0day 漏洞成为 1day 漏洞后，漏洞的利用方式和影响范围已经曝光。在这个业务安全最脆弱的阶段，如何同黑客赛跑，争分夺秒地“揪”出存在安全风险的资产，是时下最紧迫的问题。对于 1day 漏洞，安全运营团队需要针对漏洞的影响范围执行针对性的应急解决方案。通常可以先根据爆出 1day 漏洞的影响范围（CVE 漏洞通常会有对应影响的 CPE 编号），结合组织资产清单进行一轮资产匹配，先确定可能受该漏洞影响的资产范围。在此基础上使用更深入的技术手段，例如利用 PoC 对可能受影响的资产进行更加精确的漏洞验证，对受影响资产进行精确定位后，才能对其进行针对性的风险处置。这种方式能够大幅度缩短 MTTD 及 MTTR，提升安全运营团队的风险处置能力和效率。

如图 22-1 所示，在对受影响资产进行精确定位后，安全运营团队将通过版本升级、补丁更新、配置变更等方式对资产进行安全加固，削弱或消除漏洞带来的安全风险。利用 PoC 验证等技术方法，可以对受影响资产进行精确定位，而全面准确的资产信息，是对信息安全风险进行快速、精确定位的数据基础。如果组织所属的 IT 资产信息特别是安全关注的资产属性不全面或有错误，将导致安全运营团队对组织资产的暴露面认知不全，隐藏资产将成为重大且未知的风险隐患，一旦这些资产存在的漏洞被恶意利用，将给组织带来重大风险。

图 22-1　基于资产清单与 PoC 的精确安全风险定位与处置

要做好安全运营，必须先做好安全资产管理。

2.安全资产谁管理

资产作为一项基础性的运营工作，一般由企业 IT 运维团队负责。落实到具体的人员角色上，一般由系统工程师统计并记录服务器、存储、操作系统等软硬件基础设施资产信息，由网络工程师记录网络交换设备、公网 IP 地址等软硬件基础设施资产信息，由应用工程师和数据库工程师在业务逻辑层面记录系统的节点配置、关联配置等业务资产信息，由安全运营工程师记录安全防护软硬件设备资产及其配置项资产信息。

安全资产管理不能从资产的原始价格角度管理，应从资产安全价值的角度进行分析，赋予每个资产在安全维度的价值属性。资产价值源于业务价值，同样的资产在不同的业务环境中体现的价值也不同。安全运营团队应从业务角度关注组织资产，除了关注资产自身的安全价值外，还应根据资产间的依赖关系认知资产的附加安全价值和整体安全价值。业务依托于安全，安全为业务保驾护航。从业务角度和业务高度上看资产，更容易明了应该关注的安全资产范围和属性。

安全资产管理如此重要，但现阶段在各个组织的安全运营工作中，安全资产管理的实际落地效果往往不尽如人意。造成这种局面的因素有以下几点：

·组织对安全资产的范围认识不全面，安全资产边界不清晰。

·安全资产管理方式为原始的人力手工管理，缺乏有效的自动化管理工具。

·缺乏对安全资产变更的持续性监控能力，无法及时发现违规变更。

·管理流程僵化，缺乏有效性，易被绕过。

·对于部分资产的属性，现有的技术发现手段准确率不足。

·业务增长连带安全资产增长，以现有的模式，其管理成本和技术成本呈几何级数增长。

基于各种原因，组织的资产信息往往都存在着各种不足，包括资产未记录、记录错误、更新不及时等因素导致的资产信息错误。不完备的资产信息是安全运营管理过程中存在的重大风险点，而安全运营团队作为组织安全管理的责任团队，应积极主动地承担好安全资产的管理职责，为做好安全运营工作打下坚实的基础。

3.安全资产管理的关键问题

要做好资产管理并不容易，这并不是一个简单的技术问题或管理问题，而是技术与管理的多重融合问题。就现阶段的行业经验来看，十全十美的资产管理是不存在的，但通过尽可能完善有效的资产管理，可以极大地提升安全运营团队对安全资产的认知能力和把控能力。运营团队想做好安全资产管理，应该从以下几个方面加大力度，做出切实有效的工作。

（1）明确安全资产管理的关注范围和关注维度

理清从安全运营角度应该关注的安全资产维度，对安全资产的充分认知，可以帮助安全运营团队提升对突发威胁的响应速度和效率。安全资产管理应从业务安全的角度关注安全资产，保障业务安全需要关注业务系统的核心资产和周边辅助资产。

核心业务开放在互联网端的应用前端资产是关注度最高、风险最大的业务资产暴露面，而位于边界防护体系之后的内网中的网络系统、支撑环境和其他应用后端资产由于暴露面较低，其风险级别也相对较低。但网络无边界，安全也无绝对，对内网安全资产的关注也容不得有半点疏忽。内网资产位于高安全区域，属于“城堡内部”的风险点。一旦某个风险点被攻破，极易通过一点使危害扩散和蔓延。最牢固的堡垒往往都从内部被攻破，安全运营团队应充分认知内外网资产之间的逻辑关系和关联关系，结合先进的技术产品和技术手段，结合组织的整体安全策略和制度，为组织的 IT 安全保驾护航。

（2）通过自动化手段提升安全资产的发现识别效率

传统的以人工识别为基础，以 Execl 表格工具为载体的资产识别和管理，已经完全跟不上现阶段组织业务扩张和资产爆炸性增长带来的管理要求。传统的人工操作总是受到人工精力不足、效率低下、易出错等负面因素的影响，无法形成有效的资产管理能力。安全运营团队应利用成熟的自动化资产管理技术或产品，构建高效、智能的自动化资产发现、识别和管理能力，降低资产管理对团队的工作压力。

目前较为常见的资产发现识别手段主要有三种，各有优劣：

·主动探测，是指基于 Nmap 等探测技术对资产进行识别。优点是实施较为简单，对系统环境影响较小；缺点是准确率受到用户提供的检测范围影响，当资产有一定防护和屏蔽后难以识别。

·被动流量发现，是指基于流量识别检测正在使用的设备、服务和应用程序。优点是不受用户提供检测范围影响，对业务系统基本无影响；缺点是难以发现没有在使用的资产或孤岛资产，流量镜像对网络有一定影响等。

·Agent 获取，是指通过在服务器上安装 Agent 来识别资产。优点是能够获取到的数据最为全面和准确；缺点是实施较为困难，对业务有一定影响，资产发现效果受到安装范围影响等。

在实际的资产管理中，企业可以根据自身所需的资产管理力度来决定采用哪一种或多种资产发现手段。

基于业内的实践经验，实现资产管理有各种开源的 CMDB 产品，也有一些比较成熟的第三方资产管理产品。从使用效果上看，开源 CMDB 产品对运营人员的技术能力、管理能力和协调能力要求较高，但成本相对较低。而第三方资产管理产品会产生一定的成本，但能提供专业的售后支持服务，还可以根据管理需求进行针对性的功能开发和性能调优，更有利于快速形成组织的安全资产管理能力。两者各有优势，安全运营团队应根据企业自身特点，灵活地选择适合自身组织环境的安全资产管理解决方案。

（3）做好动态数据更新与维护

做过资产管理台账的人可能都有这样的体会，利用一个月的时间充分摸底组织 IT 资产，殚精竭虑地做了一份尽善尽美的组织 IT 资产台账。但三个月后一看，这份台账的信息已经出现了各种错误，整体准确率已经无法估计。这种令人无奈的情况，根本原因就是人的精力、注意力无法长期应对组织资产信息的频繁变化。

为了解决这个致命的问题，组织的安全资产管理环境在能够自动化发现、识别资产的同时，还应具备自动化、周期性的资产信息变更识别、记录能力。

（4）控制好安全资产信息获取过程的负面影响

要明确的是，安全资产管理和 IT 资产管理之间是有交集的。安全资产管理可以不必关注服务器的序列号、U 数和维保情况，这是运维团队需要关注的。安全资产管理更关注业务系统各个业务节点上运行了什么程序，具体是什么版本，各个节点和系统之间有着怎样的对应关系和依赖关系。它既会关注运维资产管理中的部分信息，也会关注一些业务层面的安全资产信息。

（5）通过有效可行的规范制度保障安全资产管理的持续性

安全资产管理的信息初始化建设很重要，但资产基线建立后的变更识别维护过程，是一个更加重要的持续性过程。传统资产管理往往都在基线建立后的维护过程中遭遇滑铁卢，失效的持续监控机制和职责控制，使得资产信息的有效性随着时间的推移直线下跌。

为了保障安全资产管理的持续有效性，应该制定适当的管理规范。规范应充分考虑复杂度和有效性，有效的规范应具备简单、可行、闭环可追溯等特点。可从以下几个方面进行考虑：

·系统操作流程及操作方式应简单可行，不应存在过多的不确定性。

·具体的操作责任应落实到指定的责任人，不应出现多头管理或无人管理的局面。

·应有定期检查机制，由指定的人员执行定期检查任务，确定管理规范的执行是否到位。

·对于来按规范执行的失职人员，应有明确的问责制度和修复机制，避免规范成为一纸空文。

22.1.2　解决思路和方案

1.安全资产管理应关注哪些资产信息

安全运营团队应从安全运营需求的角度考虑如何关注组织 IT 资产的细节信息，理论上，获取的信息越详细，在安全运营中就越有效。但信息越详细，信息获取、维护的难度越大、成本越高。安全运营团队应充分考虑所在组织的业务重要性、资产数量和团队自身能力，以切实可行、实事求是的态度选择适合自身组织环境的安全资产管理模式。

（1）业务维度

业务维度的安全资产，更多的是考虑业务发布的互联网侧的暴露面资产。这些资产因为业务需求不得不向互联网用户开放，同时也不得不承受潜在的攻击威胁。在业务维度值得关注的安全资产包括：

·域名资产。域名资产是最直观的业务维度资产之一，是做好业务维度安全资产管理的最佳把手。绝大多数面相公众用户的业务都具有指定的域名信息，域名下又有二级域名和 CNAME 等子域名资产，通过对域名资产的发现、识别，可以获取更多的业务相关资产信息（例如 IP 地址）。

·URL 资产。URL 指向业务服务的详细地址，通过对 URL 资产的发现与识别，能够进一步了解构成业务的服务、框架、端口等详细资产信息。

·外网 IP 资产。某些业务因具体的业务需求没有分配相应的域名，而是直接通过 IP 地址向外网提供服务。通过对外网 IP 资产的进一步识别分析，可以获取 IP 上开放的业务端口等更多的详细资产信息。

（2）系统维度

与业务维度不同的是，在系统维度应该更注重系统的逻辑构成，通过系统逻辑结构获取更多的安全资产信息。在系统维度值得关注的安全资产包括：

·外网 IP 资产。除了业务没有分配域名的情况外，笔者更愿意以系统的维度看待外网 IP 资产。外网 IP 资产与业务的实际构成往往是一对多的集群对应关系，一个开放的外网 IP 后端可能关联了多个真实 IP 地址，甚至可能关联多个集群虚 IP。通过对外网 IP 资产的深度识别，可以获取更多的安全资产详细信息。

·外网开放端口资产。开放的端口资产是服务的直接入口，通过对端口资产的指纹识别，可以获取该端口上开放服务的真实情况。在实际工作中，经常会有端口号和端口上开放的服务不一致的情况。对网络工程师和安全工程师来说，在端口开放的操作和审计上往往只能做到 OSI 模型的第 4 层。端口策略开放后，操作人员可能将其他服务指定到该端口（例如申请 80 端口开放 HTTP 服务，之后将 oracle1521 端口服务指定到 80 端口），将会形成重大的风险隐患。

·内网集群 IP 资产。内网集群 IP 是负载均衡服务层的虚 IP，该资产上联外网 IP 资产，下联 real IP（业务主机操作系统 IP）资产，是业务发布链上的重要一环。通过对内网机群 IP 资产的识别分析，可以获取更多的主机 IP 资产、端口资产等安全资产的详细信息。

·内网集群开放端口资产。内网集群开放的端口是系统层面的重要资产，但在实际情况中出于安全原因或资源原因，集群开放端口和 real IP 上开放的端口可能不一致。安全资产管理人员应根据资产的实际配置情况进行分析、记录。

（3）主机维度

主机层面已经开始进入业务系统的逻辑底层，主机可能是物理机，也可能是虚拟机。不同的主机环境对安全运营的要求和压力也不相同。在主机维度值得关注的安全资产包括：

·主机 IP 资产。主机 IP 资产实际上是操作系统上配置的 IP 资产，操作系统所在可能是物理机或虚拟机，一个操作系统上可能配置了多个 IP 资产。通过对存活主机 IP 资产的发现、识别和分析，可以确认资产的存活性并识别出主机上部署、开放的其他相关资产信息。

·主机开放端口资产。主机开放端口资产是主机上运行服务的直接访问接口，通过对主机开放端口的发现、识别和分析，可以获取主机上开放的具体服务信息，包括服务类型、服务版本等。

·中间件资产。中间件资产是最常见的资产类型之一，几乎所有的系统架构中都包含中间件资产。作为广泛应用的中间件产品，通用其漏洞往往能够带来重大的安全隐患。在安全资产管理层面，应该特别注重中间件资产的发现与识别。

·数据库资产。数据库资产是最常见的资产类型之一，几乎所有的系统架构中都包含数据库资产。作为广泛应用的数据库产品，通用其漏洞往往能够带来重大的安全隐患。在安全资产管理层面，应该特别注重数据库资产的发现与识别。

·操作系统资产。操作系统资产是业务系统的底层资产，其重要性不言而喻。Linux、windows 等操作系统内含多种服务和组件。在为业务系统构建带来便利的同时，也将带来各种漏洞与风险（例如 OpenSSL Heartbleed），安全运营应对操作系统资产的安全给予强烈关注和积极应对。

·其他应用服务资产。组织自身开发的业务应用和其他第三方的业务应用资产，也是安全资产管理中应该关注的一环。

（4）通用维度

除了各项资产的核心信息本身外，安全资产管理还应从系统状态、技术细节、管理角度多方面关注信息安全资产的重要信息：

·资产补丁状态。明确资产补丁状态可以判断资产是否受到确定漏洞的安全威胁，明确组织资产态势。

·主机 HIDS 状态（如有）。主机型入侵检测系统专注于系统内部，监视系统全部或部分的动态行为以及整个计算机系统的状态，是安全资产管理的一个有力接口。

·资产负责人。资产负责人可分为业务负责人、系统负责人、主机负责人等；又可根据组件分为中间件负责人、数据库负责人、操作系统负责人、网络系统负责人等。根据资产与责任人之间的明确对应关系，可以在资产风险管理过程中建立从业务到责任人的完整关系链条，有助于安全运营团队构建闭环的风险管理模式。

·系统开发商。在系统面临自身基因缺陷（代码、架构）导致的重大风险时，明确的系统开发商和联系方式，可使安全运营团队快速地联系系统的开发团队，寻找解决问题的办法。

业务依托于安全，安全服务于业务，抓住这个核心思想，才有助于安全运营团队确定组织需要关注的安全资产范围。

2.易被忽视的安全资产信息

安全运营团队在安全资产管理过程中不但应该具有高度的业务视角，也应具有入微的细节视角。俗话说“外行谈战略，内行谈后勤”。在实际工作中，某些细节问题往往是决定成败的关键点。易被忽视的安全资产包括：

·全局安全资产。充分考虑业务环境中所有的相关资产信息，除了核心系统外，还应考虑在 IT 层面上实现业务逻辑的周边系统资产、辅助系统资产。要充分考虑组织分支机构资产和外部公有云相关资产，避免在安全运营及外部合规性核查中因自身资产盲区导致不良后果。

·新型安全资产。在互联网+时代，还存在着一些新型的、不引人注意的资产类型。例如企业公众号、企业微博号等市场推广资源。从组织整体安全运营的角度看，这些资源可能存在误用、盗用、使用不规范等问题，导致发布了不合适的内容信息。公众信息发布的安全性，也可以作为安全资产管理的一个关注点。

·存在安全隐患的隐藏资产。除了直观可见的安全资产外，还存在着一些不面向大众用户的隐藏资产。例如开放在公网的 API 接口、网站管理后台等。以 API 为例，该资源不得不开放在互联网侧，基于用户的分布性又难以限制可接入 IP，容易受到 API 参数篡改、内容篡改、中间人攻击等安全威胁。可通过前端防护设备及鉴权控制保障此类资产的安全性。

·特权账号。特权账号因其权限较大，比普通账号具有更强的脆弱性。账号作为业务系统人机交互的钥匙，在安全资产管理中容易受到忽视。

·易被忽视的资产属性。还有一些容易受到忽视，但对业务安全及业务可用性有很大影响的资产属性。例如网站证书有效期、域名有效期、各类设备维保时间和供应商联系电话等。

安全运营团队在安全资产管理中，应该做到全面细致地考虑，尽可能全面点亮安全资产管理范围，尽力避免资产信息黑洞带来的安全风险隐患。

3.安全资产管理系统

要做好安全资产管理工作，应该具备一系列的资产管理能力一套相对完善的资产管理系统，应至少包含以下能力：

·资产发现识别能力。 资产发现能力是安全资产管理的基础能力。无论是传统的通过人工识别的资产发现能力，还是自动化、智能的产品级资产发现能力，想要进行安全资产管理，首先必须在某种环境或场景中发现存活资产，并且通过分析资产特征来识别资产详情。资产发现能力应该是全面和精确的，避免因不完善的甚至错误的资产发现造成重大风险隐患。

·资产持续监控能力。 资产配置会随着业务需求的变更而不断变化，变化的范畴和频率是由业务的变更需求所引导的。要保证安全资产信息的持续有效，必须具备对资产配置变更的持续监控能力。通过周期性的、繁复的资产发现和复查，可以及时发现资产信息的变化情况，通过对资产变更信息的确认和入库，可以保障资产信息持续有效的。

·资产变化的合规性。 资产配置变更流程应符合组织的变更管理规范，当运营团队执行某些安全资产的配置变更操作时（如新增配置、现有配置变更），应务必遵守组织制订的配置审批操作流程或变更审批操作流程。

·重点关注高危服务。 对于 3389-windows 远程桌面服务默认端口、22-SSH 服务、21 端口-FTP 服务和 23 端口-telnet 服务等高危服务端口，安全运营团队应给与重点关注。在关注服务的默认端口的同时，还应注意可能存在服务端口变更的情况。这种在第 4 层服务确定的问题，应通过资产识别分析能力，从第 7 层反馈信息上判断端口上开放的真正服务内容。

·1day 漏洞响应能力。 发现资产安全漏洞不是安全运营的最终目的，解决发现的资产安全漏洞才是最终目的。安全运营团队应基于有效的安全资产数据，结合团队技术实力和管理能力，形成及时有效的 1day 漏洞响应处理能力。

·全局安全资产管理。 安全运营团队在安全资产管理中，应基于组织业务架构具备全局管理视角，除了关注核心数据中心、总公司等重点资产区域外，还应充分考虑分公司、分数据中心、分布式业务系统的安全资产管理需求。安全运营团队应基于业务重要性和合规性要求给予分布资产足够的重视程度和管理级别。

4.安全资产分析数据可视化

数据可视化是安全运营工作的有力支持，通过将适合机读的资产数据转换为适合人读的展示形式，有助于安全运营团队对安全资产及其关联关系的识别、分析，能够提升安全事件处理效率。

尽量做到一目了然地读取安全资产相关的组件信息、业务信息、责任人信息，还可以通过与漏洞情报的关联，显示资产上存在的漏洞风险信息。

5.安全资产管理闭环

安全资产管理切忌发展成“有责任无执行，有变化无监控，有需求无响应，有问题无解决”的“四有四无”状态。一旦这些情况成为常态，意味着安全资产管理已经处于彻底失败的境地。要避免这种问题，应基于 PDCA 的原理，形成安全资产管理任务内部闭环的业务模式。

具体思路包括：

1）制订有效的安全资产闭环管理计划。

2）将计划中具体的任务、需求责任指派到具体的自然人，不能存在任何任务无接口人的情况。

3）任务发起人应通过任务清单或系统自动流程单，关注任务的处理进展。

4）不同类型的任务应有任务处理期限，不应形成无限挂起的僵尸任务。

5）执行人完成操作后，应由发起人进行验证，根据验证结果决定任务关闭或重新执行。

6）安全运营团队的管理者应重视闭环流程的执行情况，定期或不定期地对任务的执行状态进行检查，避免因为监督不力导致流程和规范名存实亡。

22.1.3　几点思考

资产管理归根到底，还是安全运营的一部分。笔者结合在安全资产管理工作中积累的一些经验，列出几点思考供读者参考：

（1）快速响应能力建设

安全资产管理最终的能力体现在安全运营团队对 1day 风险爆发时的快速响应。安全资产管理到位，具备完善的安全资产信息的安全运营团队，应该可以在 1day 漏洞爆发后，第一时间通过资产信息匹配列出一份疑似资产清单。同时，通过跟踪漏洞信息尽快获取可用的 PoC，利用资产管理系统的 PoC 深度监测功能，精确定位受影响资产。

根据精确定位的风险资产清单、业务重要性、业务依赖关系、资产漏洞被利用的难度和漏洞修复建议，快速形成漏洞资产的处理建议。建议中还应包含处理的步骤建议，分析资产风险处置的优先级排序，给出风险处置保障建议。通过快速构建一整套可行的风险分析及处置方案，体现安全运营团队在组织中的存在价值。

（2）恪尽职守、尽力而为

不同组织基于实际情况，在人力配置和财力配置上有自身的客观条件，安全运营人员应结合实际情况选择合适的安全资产管理工具和方式。条件允许的，可以使用开源 CMDB 或更加成熟的第三方管理产品；条件不允许的，也应该采用人工梳理加 Excel 记录的传统方式尽力做好组织内的安全资产管理工作。

与其不作为导致安全运营工作效果不利，进而导致组织重视程度下降、资源缩水、工作效果不利的恶性循环，不如充分利用现有资源和团队成员的主观能动性，通过端正的工作态度和优秀工作效果，获得组织的关注和投入。作为职业人士，安全运营从业者理应恪尽职守、尽力而为。

（3）自动化和智能化是未来的发展方向

传统的、人工的、被动的、粗糙的安全资产管理方式已经完全无法满足多年来业务环境中信息化、自动化和网络化的发展形势。随着各种成熟的第三方安全资产管理产品的不断上市，安全资产管理的自动化和智能化程度在不断提高。随着行业实际业务模式的针对性功能不断开发，专业安全资产管理系统的可用性和效率也在不断提升。

结合近年来火热的大数据、人工智能等先进技术，安全资产管理系统的技术含量和含金量也将不断提高。自动化和智能化一定是安全资产管理技术的发展方向。