浅谈影子资产治理之道——影子资产,从“此”可现

发布时间 2018-08-17

什么是影子资产?


在信息安全领域里,资产是指任何对组织有价值的东西,也是要保护的对象。据Gartner研究报告显示,目前全球只有不到25%的公司具有适当的IT资产管理规划。


那么,什么是影子资产?影子资产就是影子IT中资产,是IT系统的重要组成部分,影子IT是指那些不在企业和组织IT部门掌控下的IT 设备、软件及服务。根据一份权威的第三方调查报告显示,越来越多的IT资产采购将由业务部门(line-of-business,简称LOB)领导者完成。也就是说,IT资产的采购越来越多的会绕过IT部门。这为企业的资产管理工作带来的直接后果是,企业中的IT部门不知道这些影子资产的存在,更谈不上对这些资产的防护,暴露面掌握不清,一旦被攻击利用,产生的后果和影响令人不寒而栗……..





影子资产带来的影响?


影子资产出现的原因有很多,概括起来主要是两方面的原因:


内部原因:由于当前BYOD使用的便利性,越来越多的人选择用自己的设备接入组织的内网,而且组织内部没有严格的入网控制措施。在组织内部由于预算和成本控制的原因,无法完全掌握IT资产采购。


外部原因:云技术的广泛运用,使得快速部署、易用性高、按需接入方式成为影子资产出现的便捷手段。


影子资产的出现带来的风险主要有以下几个方面:


企业组织对影子IT失去控制:LOB现象催生影子资产的存在,使得IT保障需要更加全面。只有提升影子资产的保护能力,才能保护组织整体安全。


云化的数据安全无法得到保障:当前云服务商的安全交付能力良莠不齐,在SaaS环境中的数据是否会被泄露或篡改、丢失都存在不确定性。前不久,云服务提供商自身的脆弱性问题导致的数据的丢失、泄露问题,给用户带来灭顶之灾。因此,对云化的影子资产无法感知,就造成数据安全无法得到保障。


影子资产中的安全风险无法识别:由于企业组织的IT部门,不知道影子资产的存在,因此也无法识别和掌握影子IT当中的存在的风险。无法识别风险意味着较高的安全风险,一旦存在脆弱性漏洞被利用,造成的影响将非常严重。


影子资产治理之道


启明星辰集团TSOC-AEM资产发现与管理系统 (Asset Exploration and Management ,以下简称为“AEM”),是一款致力于资产全生命周期流程管理的产品,可实现资产全面梳理和资产脆弱性与暴露面的分析。采用分布式组件化设计,主动被动发现方式相结合,主动探测主要用于对未知网络下的发现探测,被动扫描主要用于7*24小时持续性的监听已知网络下的未发现资产,并通过信息补全和深度扫描等方式完成资产属性的补全,最终实现未知资产的发现与管理。可用于发现政府及企业网络中已知和未知的资产,并进行全生命周期的管理,可发现类型包括主机、网络设备、安全设备、数据库、中间件、设备组件等。针对影子资产的安全隐患,我们给出了自己的解决之道:







01 资产全生命周期的流程管理


为用户提供资产的流程管理功能,提供全方面、多方位的完整统一的资产日志信息,包括资产的发现,资产属性的变更等,满足各实物管理部门对资产精细化管理的要求。


在上线及退网等阶段,上线审批、退网审批,通过调度漏扫和配置核查提供脆弱性的统计,作为能否上线的依据,退网后,资产信息可备查。全面资产梳理,可以让影子资产无处遁形。




02 主被动结合的探测机制
     实现7*24发现影子资产


为用户提供影子资产识别机制,主动探测可识别发现网络内存活资产硬件特效及版本等信息,被动探测通过流量发现识别网内的未知IP和开放端口等信息,主被动结合,除发现活跃资产外,也可识别发现影子资产、僵尸资产。通过两种方式,实现7*24小时对全网资产的监控,及时发现影子资产,拒绝影子资产存在。




03 完善的指纹库与更新能力


为用户提供完善的指纹库信息,系统内置指纹,包括网络设备、安全设备、各类操作系统、数据库、应用中间件、BYOD、大数据组件等组件类型,指纹库主要包括:


端口指纹:开放的端口信息、各厂商设备的特定端口信息;


OS指纹:操作系统的版本信息、设备类型信息、系统名称、厂商信息;


Web指纹:HTML信息、Header信息、URI信息、File信息;


指纹库的适配简便灵活,无需二次开发,在提取设备或系统的基础组件的概要信息后,就可以进行适配。




04 深度暴露面分析


为用户提供资产管理系统,一方面可对接主流漏扫引擎,并可结合基线核查功能,实现全方位脆弱性信息的采集,并自动与资产进行关联;另一方面可为用户提供更详实准确的资产属性,例如:主机的进程、启动项、开放的端口、补丁属性;安全设备的配置变更情况、网络设备接口是UP 还是Down,包括应用系统、数据库、中间件的版本信息、安装路径等。除此之外,还能为资产提供漏洞、关键配置是否安全等信息,为全面掌握所管理设备的脆弱性和暴露面提供准确的依据。




05 资产态势全局呈现


为用户提供资产态势模块,可展示系统的基本管理信息,包括发现资产雷达、发现资产示意图、资产发现滚动展示、资产脆弱性排名、漏扫及配置分析图。安全管理人员可以通过本功能模块了解当前发现资产及归档资产信息,进行可视化的实时概况查看,尤其是影子资产。安全管理人员可以方便地随时提高分析工作的效率。




06 与安全管理平台的无缝整合


为用户提供与现有的启明星辰安全管理平台对接的方案,通过无缝整合,可作为态势感知或安全管理平台的子模块完成资产感知的工作,也可通过安全管理平台下发探测任务,驱动资产发现采集器共同完成安全运营管理工作。同时,系统的探测结果可以返回安全管理平台,安全管理平台针对安全资产的发现过程进行全程监控,协助安全管理平台为安全工作提供更有利的保障。