2021 年 5 月 10 日，美國政府宣布進入國家緊急狀態(tài)，起因是美國最大的成品油管道運營商Colonial Pipeline遭受勒索軟件攻擊。5月12日，美國總統(tǒng)拜登簽署《關(guān)于加強國家網(wǎng)絡(luò)安全的行政命令》（Executive Order on Improving the Nation’s Cybersecurity)的第14028號行政命令，該《行政命令》的出臺是美國政府對該事件和2020年底爆出的SolarWinds供應(yīng)鏈APT攻擊等一系列重大網(wǎng)絡(luò)安全事件的響應(yīng)，旨在采用大膽舉措提升美國政府網(wǎng)絡(luò)安全現(xiàn)代化和對威脅的整體抵御能力。指令首次提出“關(guān)鍵軟件”概念，希望增強美國聯(lián)邦政府的軟件供應(yīng)鏈安全，要求向美國聯(lián)邦政府出售軟件的任何企業(yè)，不僅要提供軟件本身，還必須提供軟件物料清單，可見美國要求重要機構(gòu)對使用的關(guān)鍵軟件資產(chǎn)采用空前力度進行安全控制。9月7日，美國政府政策部門管理和預(yù)算辦公室(OMB)和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)在2021年9月7日發(fā)布了支持該行政指令的《聯(lián)邦零信任戰(zhàn)略》（Federal Zero Trust Strategy）草案，將可視化和分析、自動化和編排和治理三項基礎(chǔ)工作和能力貫穿到身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序、數(shù)據(jù)的五個零信任支柱中，看得見是一切安全的基礎(chǔ)，要求聯(lián)邦政府要有一個完整的授權(quán)運行的設(shè)備清單，并將盤點資產(chǎn)作為關(guān)鍵舉措之一。

在我國，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱關(guān)基條例）、《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》和《數(shù)據(jù)安全法》自2021年9月1日起施行。特別是關(guān)基條例，是構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保護體系的頂層設(shè)計和重要舉措，必將開啟我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的新紀元，我國將建立網(wǎng)信和公安部門統(tǒng)籌與指導(dǎo)監(jiān)督、重要行業(yè)和領(lǐng)域的主管部門保護、關(guān)鍵信息基礎(chǔ)設(shè)施運營者主體運營的三層網(wǎng)絡(luò)安全綜合治理體系。條例也明確了網(wǎng)絡(luò)安全服務(wù)機構(gòu)的責任與義務(wù)，充分調(diào)動全社會的積極力量，共同建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警、應(yīng)急響應(yīng)、檢查檢測、信息共享等能力體系。

經(jīng)歷了這幾年實戰(zhàn)化的大型攻防演練，三化六防、掛圖作戰(zhàn)已經(jīng)成為關(guān)基單位網(wǎng)絡(luò)安全工作的指導(dǎo)思想，網(wǎng)絡(luò)空間資產(chǎn)的全面、動態(tài)、主動、精準防護成為必然。

一、基本定義

在開始談網(wǎng)絡(luò)空間資產(chǎn)安全管理的目標、挑戰(zhàn)與能力要求、實踐前，有必要對談的問題做個約定。

資產(chǎn)：指網(wǎng)絡(luò)空間中某機構(gòu)所擁有的一切可能被潛在攻擊者利用的設(shè)備、信息、應(yīng)用等數(shù)字資產(chǎn)。具體包括但不限于硬件設(shè)備、云主機、操作系統(tǒng)、IP地址、端口、證書、域名、Web應(yīng)用、業(yè)務(wù)應(yīng)用、中間件、框架、機構(gòu)公眾號、小程序、App、API、源代碼等（注：本定義引自數(shù)世咨詢2021年：《網(wǎng)絡(luò)空間資產(chǎn)測繪(CAM)能力指南》）。后面的討論基本參照了本定義，和我們創(chuàng)業(yè)的認識和方向也是一致的。

隨著數(shù)字化的演進和攻防技術(shù)的發(fā)展，我認為資產(chǎn)的內(nèi)涵和外延還將不斷發(fā)生變化，比如從覆蓋面來講，除了傳統(tǒng)IT網(wǎng)絡(luò)，還要覆蓋cloud, IT, IoT, OT等環(huán)境，從深度上來講，還要包括流量、身份、進程、訪問關(guān)系等。除此以外，數(shù)據(jù)也是一種非常重要的資產(chǎn)，從整個生命周期來看，采集、傳輸、存儲、處理、交換、銷毀每個階段都需要考慮安全的管理和控制，針對數(shù)據(jù)這種資產(chǎn)的管理，當前業(yè)界談得比較多的是數(shù)據(jù)安全治理，因和業(yè)務(wù)緊密相關(guān)，數(shù)據(jù)需要流動和共享，落地難度就相當大了，但梳理數(shù)據(jù)資產(chǎn)現(xiàn)狀，摸清單位擁有哪些數(shù)據(jù)、誰在使用、如何使用和基于此之上的數(shù)據(jù)分類分級則是數(shù)據(jù)保護工作的基礎(chǔ)。

另外，從需求對象、需求目標、使用場景、采集數(shù)據(jù)及手段來看，不同視角的資產(chǎn)管理的差別很大，日常交流中發(fā)現(xiàn)經(jīng)?；煜谝黄穑疫@里說的當然是資產(chǎn)安全管理，當然也有人叫安全資產(chǎn)管理，這兩個詞到底哪個更合適就沒有那么重要了。

二、目標

我認為，資產(chǎn)安全管理的目標是構(gòu)建滿足安全運營人員日常工作所需的完整、統(tǒng)一、動態(tài)的資產(chǎn)臺賬系統(tǒng)，實現(xiàn)數(shù)字化管理，并能隨時了解企業(yè)的網(wǎng)絡(luò)空間攻擊面，通過API集成與聯(lián)動其他系統(tǒng)實現(xiàn)掛圖作戰(zhàn)和平戰(zhàn)一體化。從管理的角度來說，則需要建立上線備案、變更管理、審批核查、考核匯報、漏洞閉環(huán)跟蹤、基線與補丁管理、應(yīng)急處置等安全管理流程，建立指標化的資產(chǎn)安全運營體系，實現(xiàn)資產(chǎn)全生命周期的安全運營。

直白地說，就是構(gòu)建整個機構(gòu)網(wǎng)絡(luò)空間的安全視角資產(chǎn)庫或城防地圖，看清自己，隨時感知風(fēng)險和攻擊面，為安全人員快速決策和行動提供直觀、清晰的依據(jù)，同時通過與其他安全系統(tǒng)、外部情報的聯(lián)動，能自動化調(diào)度和編排，實現(xiàn)高效運營。

三、挑戰(zhàn)與要求

隨著數(shù)字化轉(zhuǎn)型的加速，資產(chǎn)的形態(tài)多種多樣，屬性迅速變化，攻擊面持續(xù)擴大，傳統(tǒng)殘缺、過時、離線、孤島和缺乏安全視角的資產(chǎn)數(shù)據(jù)無法滿足漏洞不斷爆發(fā)、攻擊愈演愈烈的安全形勢下的防護要求，資產(chǎn)安全管理的主要挑戰(zhàn)來自三個方面：

● 資產(chǎn)屬性的缺失

● 資產(chǎn)數(shù)據(jù)的碎片化

● 資產(chǎn)形態(tài)的泛化

缺乏統(tǒng)一、可信的資產(chǎn)安全臺賬系統(tǒng)成為各單位普遍存在的迫切問題。

當然，談到管理，當然和組織業(yè)務(wù)和文化、IT與網(wǎng)絡(luò)安全治理水平，內(nèi)部分工也緊密相關(guān)，不僅僅是網(wǎng)絡(luò)安全部門就能做好的。

資產(chǎn)安全管理系統(tǒng)與其他系統(tǒng)、安全產(chǎn)品的整合，需要用戶側(cè)安全與運維、應(yīng)用部門的協(xié)同，還要求安全產(chǎn)品供應(yīng)商配合才能完成，這個對接過程并不是標準化可復(fù)制的，如何在成本和效益之間尋找一個各方都能接受的平衡點至關(guān)重要，發(fā)動各方的積極性往往充滿挑戰(zhàn)。

因此，資產(chǎn)安全管理方案難于落地，本質(zhì)上難的不是技術(shù)，而是管理，這也是至今這個頑疾并未很好解決的重要原因。

技術(shù)方面，需要主被動、攻擊與運維視角等多維視角，并充分利用已有系統(tǒng)的數(shù)據(jù)，從全面性、準確性、實效性、開放性、持續(xù)性和關(guān)聯(lián)性方面考慮數(shù)據(jù)的質(zhì)量及和外部系統(tǒng)的聯(lián)動，數(shù)據(jù)的存儲、清洗、挖掘、檢索和關(guān)聯(lián)分析能滿足各種場景和人員的使用需要。

四、我們的實踐

資產(chǎn)安全管理是一個持續(xù)的過程，無法一蹴而就，理想的情況是收集所有的數(shù)據(jù)，打通相關(guān)的系統(tǒng)，事實上達到100%完整和準確的數(shù)據(jù)是一個理想的目標，業(yè)務(wù)的動態(tài)性和人的因素決定了這個過程需要不斷迭代和優(yōu)化，并需要安全人員的運營才能真正發(fā)揮價值。

我們歸納的資產(chǎn)安全管理成熟度模型定義了達到不同階段具備的能力、特征和需要攻克的挑戰(zhàn)，在建設(shè)和運營方面的側(cè)重點也不一樣。

直接完成全網(wǎng)的資產(chǎn)安全管理需要足夠的投入和多部門的溝通協(xié)調(diào)，建議采用小步快跑的思路針對不同的風(fēng)險級別網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)系統(tǒng)（如互聯(lián)網(wǎng)區(qū)、生產(chǎn)區(qū)、辦公區(qū)）來分布建設(shè)。一旦選定區(qū)域，可以采用三步走的方法，第一步是資產(chǎn)發(fā)現(xiàn)，其次是風(fēng)險緩解與閉環(huán)處置、然后進行持續(xù)優(yōu)化與運營，單個區(qū)域的建設(shè)運營可為全網(wǎng)資產(chǎn)安全管理積累經(jīng)驗，也能讓項目成員快速看到收益。

這兩年，在摸清家底的迫切需要和大型實戰(zhàn)攻防演練活動的驅(qū)動下，網(wǎng)絡(luò)空間資產(chǎn)測繪作為一個新興的技術(shù)為業(yè)界所關(guān)注，并在2020年被咨詢機構(gòu)評為中國網(wǎng)絡(luò)安全十大創(chuàng)新方向和熱點。

網(wǎng)絡(luò)空間資產(chǎn)測繪是針對網(wǎng)絡(luò)空間中的數(shù)字化資產(chǎn)，通過掃描探測、流量監(jiān)聽、主機代理、適配器對接、特征匹配等方式，動態(tài)發(fā)現(xiàn)、匯集資產(chǎn)數(shù)據(jù)，并進行關(guān)聯(lián)分析與展現(xiàn)，以快速感知安全風(fēng)險，把握安全態(tài)勢，從而輔助用戶進行指揮決策，支撐預(yù)測、保護、檢測、響應(yīng)等安全體系。

的確，網(wǎng)絡(luò)空間資產(chǎn)測繪這個技術(shù)為解決資產(chǎn)安全管理這個老大難問題帶來了新的思路，是解決好資產(chǎn)安全管理的有效手段。事實上，網(wǎng)絡(luò)空間資產(chǎn)測繪并不是一個全新的技術(shù)。1997年，F(xiàn)yodor發(fā)表文章《The Art of Port Scanning》，并發(fā)布Nmap的第一個版本，標志著網(wǎng)絡(luò)資產(chǎn)探測技術(shù)的開始，2002年左右，利用Google搜索引擎來進行入侵的手段Google Hacking出現(xiàn)，2009年舉辦的黑客大會DEFCON會上，一位名叫約翰•馬瑟利的黑客發(fā)布了一款名為“Shodan”的搜索引擎，可以搜索互聯(lián)網(wǎng)上聯(lián)網(wǎng)的設(shè)備，“傻蛋”也被評為互聯(lián)網(wǎng)上最可怕的搜索引擎。

廣為人知的公網(wǎng)測繪搜索引擎，主要往快速、無感、欺騙技術(shù)對抗、全量探測（全量IP、端口、全協(xié)議）和大數(shù)據(jù)分析方面發(fā)展，但即使全球IPV4地址的全量探測都是巨大的挑戰(zhàn)，更不用談IPV6。

另一方面，公網(wǎng)測繪引擎更多是互聯(lián)網(wǎng)視角，比較宏觀，基本以主動掃描為主要探測手段，多聚焦IP資產(chǎn)（端口、服務(wù)應(yīng)用），更像是一個數(shù)據(jù)和情報獲取工具，攻擊者也會受益于這項技術(shù)尋找目標單位的資產(chǎn)。

對一個政企機構(gòu)來講，希望完整了解自身在內(nèi)外部網(wǎng)絡(luò)空間的所有資產(chǎn)，對全面性（全端口、多協(xié)議、數(shù)字資產(chǎn)）、準確性或與自身的關(guān)聯(lián)性（域名、公司名稱、logo、特有名詞）要求很高。同時，內(nèi)部網(wǎng)絡(luò)環(huán)境不同于Internet，探測本身對生產(chǎn)系統(tǒng)的影響也要考慮，并且不能僅依賴掃描或流量就能完成所有資產(chǎn)數(shù)據(jù)的準確收集。結(jié)合多年的實踐，我們認為網(wǎng)絡(luò)空間資產(chǎn)測繪在政企機構(gòu)資產(chǎn)安全管理中的落地需要關(guān)注的點如下：

對一個政企單位而言，一般分為互聯(lián)網(wǎng)（公網(wǎng)）和企業(yè)內(nèi)網(wǎng)（私網(wǎng)），其中互聯(lián)網(wǎng)資產(chǎn)需要從攻擊者視角出發(fā)，從外到內(nèi)看企業(yè)暴露在互聯(lián)網(wǎng)上的資產(chǎn)和弱點，關(guān)注的不僅僅是IP化資產(chǎn)和應(yīng)用，如服務(wù)器、域名、證書、高危端口和易危資產(chǎn)、錯誤配置、弱口令、POC和版本型漏洞等，還包括對開源社區(qū)、暗網(wǎng)、網(wǎng)盤、文庫、公眾號小程序等數(shù)字化資產(chǎn)的監(jiān)控與發(fā)行，并能關(guān)聯(lián)外部情報響應(yīng)威脅。

能力構(gòu)建方面，可自己造輪子，前提是有足夠的投入和持續(xù)的維護，也可外購專業(yè)安全公司的互聯(lián)網(wǎng)資產(chǎn)風(fēng)險監(jiān)控SaaS服務(wù)，由專業(yè)團隊提供定期的資產(chǎn)和暴露面風(fēng)險探測報告、漏洞精準預(yù)警和應(yīng)急支持服務(wù)等，并可通過賬號自行使用。

針對內(nèi)網(wǎng)，建立資產(chǎn)安全管理平臺，通過在不同區(qū)域部署主動測繪探針、API適配器對接現(xiàn)有系統(tǒng)等方式采集資產(chǎn)數(shù)據(jù)，補充資產(chǎn)的業(yè)務(wù)和管理屬性數(shù)據(jù)。基于不同來源的數(shù)據(jù)可進行交叉驗證，尋找安全控制措施的間隙，通過風(fēng)險探測發(fā)現(xiàn)需要優(yōu)先處理的漏洞，并通過域間的訪問關(guān)系可實現(xiàn)脆弱性推演，當然，有條件的可輔以流量和agent手段來發(fā)現(xiàn)資產(chǎn)。互聯(lián)網(wǎng)端資產(chǎn)的數(shù)據(jù)可通過SaaS系統(tǒng)導(dǎo)入到資產(chǎn)安全管理平臺或通過私有化的探測引擎收集數(shù)據(jù)。

經(jīng)過眾多客戶實踐和驗證，資產(chǎn)安全管理平臺應(yīng)在日常的安全運營工作中充當“作業(yè)平臺”的角色，聚焦資產(chǎn)管控率、風(fēng)險發(fā)現(xiàn)和1DAY漏洞應(yīng)急：

在大型攻防演練等戰(zhàn)事活動中，能基于現(xiàn)網(wǎng)的脆弱性數(shù)據(jù)與域間訪問關(guān)系，進行攻擊路徑推演。保持總體資產(chǎn)安全態(tài)勢感知并專注于保護關(guān)鍵任務(wù)資產(chǎn)，優(yōu)先考慮暴露面的影響范圍，輔助決策、指揮作戰(zhàn)：

五、展望

Gartner于今年7月發(fā)布了《Hype Cycle for Security Operations, 2021》，提到了EASM（External attack surface management）和CAASM（ Cyber asset attack surface management）兩項新的技術(shù)，可基本對應(yīng)上述的兩種場景和方案。

EASM解決企業(yè)在互聯(lián)網(wǎng)上已知、未知資產(chǎn)及其漏洞的發(fā)現(xiàn)，包括攻擊者可以在公眾域看到的云服務(wù)和應(yīng)用，以及第三方供應(yīng)商軟件漏洞，提供持續(xù)監(jiān)控、資產(chǎn)發(fā)現(xiàn)、關(guān)聯(lián)分析、風(fēng)險優(yōu)先級判定和緩解五個方面的能力，從外到內(nèi)的視角看企業(yè)的攻擊面。

CASSM則著力于讓安全人員可以以全局的視角看資產(chǎn)和漏洞，通過和已有系統(tǒng)的API集成讓企業(yè)看得見所有的資產(chǎn)，并給安全、運維、應(yīng)用在內(nèi)的各種人員提供統(tǒng)一查詢和消費的數(shù)據(jù)，識別出漏洞影響面及安全措施的間隙，同時緩解與改進這些問題。

團隊小伙伴過去幾年在部分頭部客戶的實踐與Gartner的上述兩項技術(shù)洞察基本一致，只是Gartner預(yù)測成熟期需要5-10年，個人表示不敢茍同，數(shù)字化轉(zhuǎn)型、新冠疫情和當前國際環(huán)境會加速這個過程，不過要真是10年的話，基本可以干到退休了：）

當然，實踐是檢驗真理的唯一標準，我們將沿著“真掛圖，掛真圖”的路徑，著眼于解決客戶的真正痛點，為中國網(wǎng)絡(luò)安全產(chǎn)業(yè)帶來一些不同的東西，踏踏實實在這個細分領(lǐng)域堅持下去，不忘初心，砥礪前行！