2021 年 5 月 10 日，美國(guó)政府宣布進(jìn)入國(guó)家緊急狀態(tài)，起因是美國(guó)最大的成品油管道運(yùn)營(yíng)商Colonial Pipeline遭受勒索軟件攻擊。5月12日，美國(guó)總統(tǒng)拜登簽署《關(guān)于加強(qiáng)國(guó)家網(wǎng)絡(luò)安全的行政命令》（Executive Order on Improving the Nation’s Cybersecurity)的第14028號(hào)行政命令，該《行政命令》的出臺(tái)是美國(guó)政府對(duì)該事件和2020年底爆出的SolarWinds供應(yīng)鏈APT攻擊等一系列重大網(wǎng)絡(luò)安全事件的響應(yīng)，旨在采用大膽舉措提升美國(guó)政府網(wǎng)絡(luò)安全現(xiàn)代化和對(duì)威脅的整體抵御能力。指令首次提出“關(guān)鍵軟件”概念，希望增強(qiáng)美國(guó)聯(lián)邦政府的軟件供應(yīng)鏈安全，要求向美國(guó)聯(lián)邦政府出售軟件的任何企業(yè)，不僅要提供軟件本身，還必須提供軟件物料清單，可見(jiàn)美國(guó)要求重要機(jī)構(gòu)對(duì)使用的關(guān)鍵軟件資產(chǎn)采用空前力度進(jìn)行安全控制。9月7日，美國(guó)政府政策部門(mén)管理和預(yù)算辦公室(OMB)和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)在2021年9月7日發(fā)布了支持該行政指令的《聯(lián)邦零信任戰(zhàn)略》（Federal Zero Trust Strategy）草案，將可視化和分析、自動(dòng)化和編排和治理三項(xiàng)基礎(chǔ)工作和能力貫穿到身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序、數(shù)據(jù)的五個(gè)零信任支柱中，看得見(jiàn)是一切安全的基礎(chǔ)，要求聯(lián)邦政府要有一個(gè)完整的授權(quán)運(yùn)行的設(shè)備清單，并將盤(pán)點(diǎn)資產(chǎn)作為關(guān)鍵舉措之一。

在我國(guó)，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡(jiǎn)稱(chēng)關(guān)基條例）、《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》和《數(shù)據(jù)安全法》自2021年9月1日起施行。特別是關(guān)基條例，是構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系的頂層設(shè)計(jì)和重要舉措，必將開(kāi)啟我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的新紀(jì)元，我國(guó)將建立網(wǎng)信和公安部門(mén)統(tǒng)籌與指導(dǎo)監(jiān)督、重要行業(yè)和領(lǐng)域的主管部門(mén)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者主體運(yùn)營(yíng)的三層網(wǎng)絡(luò)安全綜合治理體系。條例也明確了網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的責(zé)任與義務(wù)，充分調(diào)動(dòng)全社會(huì)的積極力量，共同建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)、檢查檢測(cè)、信息共享等能力體系。

經(jīng)歷了這幾年實(shí)戰(zhàn)化的大型攻防演練，三化六防、掛圖作戰(zhàn)已經(jīng)成為關(guān)基單位網(wǎng)絡(luò)安全工作的指導(dǎo)思想，網(wǎng)絡(luò)空間資產(chǎn)的全面、動(dòng)態(tài)、主動(dòng)、精準(zhǔn)防護(hù)成為必然。

一、基本定義

在開(kāi)始談網(wǎng)絡(luò)空間資產(chǎn)安全管理的目標(biāo)、挑戰(zhàn)與能力要求、實(shí)踐前，有必要對(duì)談的問(wèn)題做個(gè)約定。

資產(chǎn)：指網(wǎng)絡(luò)空間中某機(jī)構(gòu)所擁有的一切可能被潛在攻擊者利用的設(shè)備、信息、應(yīng)用等數(shù)字資產(chǎn)。具體包括但不限于硬件設(shè)備、云主機(jī)、操作系統(tǒng)、IP地址、端口、證書(shū)、域名、Web應(yīng)用、業(yè)務(wù)應(yīng)用、中間件、框架、機(jī)構(gòu)公眾號(hào)、小程序、App、API、源代碼等（注：本定義引自數(shù)世咨詢(xún)2021年：《網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪(CAM)能力指南》）。后面的討論基本參照了本定義，和我們創(chuàng)業(yè)的認(rèn)識(shí)和方向也是一致的。

隨著數(shù)字化的演進(jìn)和攻防技術(shù)的發(fā)展，我認(rèn)為資產(chǎn)的內(nèi)涵和外延還將不斷發(fā)生變化，比如從覆蓋面來(lái)講，除了傳統(tǒng)IT網(wǎng)絡(luò)，還要覆蓋cloud, IT, IoT, OT等環(huán)境，從深度上來(lái)講，還要包括流量、身份、進(jìn)程、訪(fǎng)問(wèn)關(guān)系等。除此以外，數(shù)據(jù)也是一種非常重要的資產(chǎn)，從整個(gè)生命周期來(lái)看，采集、傳輸、存儲(chǔ)、處理、交換、銷(xiāo)毀每個(gè)階段都需要考慮安全的管理和控制，針對(duì)數(shù)據(jù)這種資產(chǎn)的管理，當(dāng)前業(yè)界談得比較多的是數(shù)據(jù)安全治理，因和業(yè)務(wù)緊密相關(guān)，數(shù)據(jù)需要流動(dòng)和共享，落地難度就相當(dāng)大了，但梳理數(shù)據(jù)資產(chǎn)現(xiàn)狀，摸清單位擁有哪些數(shù)據(jù)、誰(shuí)在使用、如何使用和基于此之上的數(shù)據(jù)分類(lèi)分級(jí)則是數(shù)據(jù)保護(hù)工作的基礎(chǔ)。

另外，從需求對(duì)象、需求目標(biāo)、使用場(chǎng)景、采集數(shù)據(jù)及手段來(lái)看，不同視角的資產(chǎn)管理的差別很大，日常交流中發(fā)現(xiàn)經(jīng)?；煜谝黄?，我這里說(shuō)的當(dāng)然是資產(chǎn)安全管理，當(dāng)然也有人叫安全資產(chǎn)管理，這兩個(gè)詞到底哪個(gè)更合適就沒(méi)有那么重要了。

二、目標(biāo)

我認(rèn)為，資產(chǎn)安全管理的目標(biāo)是構(gòu)建滿(mǎn)足安全運(yùn)營(yíng)人員日常工作所需的完整、統(tǒng)一、動(dòng)態(tài)的資產(chǎn)臺(tái)賬系統(tǒng)，實(shí)現(xiàn)數(shù)字化管理，并能隨時(shí)了解企業(yè)的網(wǎng)絡(luò)空間攻擊面，通過(guò)API集成與聯(lián)動(dòng)其他系統(tǒng)實(shí)現(xiàn)掛圖作戰(zhàn)和平戰(zhàn)一體化。從管理的角度來(lái)說(shuō)，則需要建立上線(xiàn)備案、變更管理、審批核查、考核匯報(bào)、漏洞閉環(huán)跟蹤、基線(xiàn)與補(bǔ)丁管理、應(yīng)急處置等安全管理流程，建立指標(biāo)化的資產(chǎn)安全運(yùn)營(yíng)體系，實(shí)現(xiàn)資產(chǎn)全生命周期的安全運(yùn)營(yíng)。

直白地說(shuō)，就是構(gòu)建整個(gè)機(jī)構(gòu)網(wǎng)絡(luò)空間的安全視角資產(chǎn)庫(kù)或城防地圖，看清自己，隨時(shí)感知風(fēng)險(xiǎn)和攻擊面，為安全人員快速?zèng)Q策和行動(dòng)提供直觀(guān)、清晰的依據(jù)，同時(shí)通過(guò)與其他安全系統(tǒng)、外部情報(bào)的聯(lián)動(dòng)，能自動(dòng)化調(diào)度和編排，實(shí)現(xiàn)高效運(yùn)營(yíng)。

三、挑戰(zhàn)與要求

隨著數(shù)字化轉(zhuǎn)型的加速，資產(chǎn)的形態(tài)多種多樣，屬性迅速變化，攻擊面持續(xù)擴(kuò)大，傳統(tǒng)殘缺、過(guò)時(shí)、離線(xiàn)、孤島和缺乏安全視角的資產(chǎn)數(shù)據(jù)無(wú)法滿(mǎn)足漏洞不斷爆發(fā)、攻擊愈演愈烈的安全形勢(shì)下的防護(hù)要求，資產(chǎn)安全管理的主要挑戰(zhàn)來(lái)自三個(gè)方面：

● 資產(chǎn)屬性的缺失

● 資產(chǎn)數(shù)據(jù)的碎片化

● 資產(chǎn)形態(tài)的泛化

缺乏統(tǒng)一、可信的資產(chǎn)安全臺(tái)賬系統(tǒng)成為各單位普遍存在的迫切問(wèn)題。

當(dāng)然，談到管理，當(dāng)然和組織業(yè)務(wù)和文化、IT與網(wǎng)絡(luò)安全治理水平，內(nèi)部分工也緊密相關(guān)，不僅僅是網(wǎng)絡(luò)安全部門(mén)就能做好的。

資產(chǎn)安全管理系統(tǒng)與其他系統(tǒng)、安全產(chǎn)品的整合，需要用戶(hù)側(cè)安全與運(yùn)維、應(yīng)用部門(mén)的協(xié)同，還要求安全產(chǎn)品供應(yīng)商配合才能完成，這個(gè)對(duì)接過(guò)程并不是標(biāo)準(zhǔn)化可復(fù)制的，如何在成本和效益之間尋找一個(gè)各方都能接受的平衡點(diǎn)至關(guān)重要，發(fā)動(dòng)各方的積極性往往充滿(mǎn)挑戰(zhàn)。

因此，資產(chǎn)安全管理方案難于落地，本質(zhì)上難的不是技術(shù)，而是管理，這也是至今這個(gè)頑疾并未很好解決的重要原因。

技術(shù)方面，需要主被動(dòng)、攻擊與運(yùn)維視角等多維視角，并充分利用已有系統(tǒng)的數(shù)據(jù)，從全面性、準(zhǔn)確性、實(shí)效性、開(kāi)放性、持續(xù)性和關(guān)聯(lián)性方面考慮數(shù)據(jù)的質(zhì)量及和外部系統(tǒng)的聯(lián)動(dòng)，數(shù)據(jù)的存儲(chǔ)、清洗、挖掘、檢索和關(guān)聯(lián)分析能滿(mǎn)足各種場(chǎng)景和人員的使用需要。

四、我們的實(shí)踐

資產(chǎn)安全管理是一個(gè)持續(xù)的過(guò)程，無(wú)法一蹴而就，理想的情況是收集所有的數(shù)據(jù)，打通相關(guān)的系統(tǒng)，事實(shí)上達(dá)到100%完整和準(zhǔn)確的數(shù)據(jù)是一個(gè)理想的目標(biāo)，業(yè)務(wù)的動(dòng)態(tài)性和人的因素決定了這個(gè)過(guò)程需要不斷迭代和優(yōu)化，并需要安全人員的運(yùn)營(yíng)才能真正發(fā)揮價(jià)值。

我們歸納的資產(chǎn)安全管理成熟度模型定義了達(dá)到不同階段具備的能力、特征和需要攻克的挑戰(zhàn)，在建設(shè)和運(yùn)營(yíng)方面的側(cè)重點(diǎn)也不一樣。

直接完成全網(wǎng)的資產(chǎn)安全管理需要足夠的投入和多部門(mén)的溝通協(xié)調(diào)，建議采用小步快跑的思路針對(duì)不同的風(fēng)險(xiǎn)級(jí)別網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)系統(tǒng)（如互聯(lián)網(wǎng)區(qū)、生產(chǎn)區(qū)、辦公區(qū)）來(lái)分布建設(shè)。一旦選定區(qū)域，可以采用三步走的方法，第一步是資產(chǎn)發(fā)現(xiàn)，其次是風(fēng)險(xiǎn)緩解與閉環(huán)處置、然后進(jìn)行持續(xù)優(yōu)化與運(yùn)營(yíng)，單個(gè)區(qū)域的建設(shè)運(yùn)營(yíng)可為全網(wǎng)資產(chǎn)安全管理積累經(jīng)驗(yàn)，也能讓項(xiàng)目成員快速看到收益。

這兩年，在摸清家底的迫切需要和大型實(shí)戰(zhàn)攻防演練活動(dòng)的驅(qū)動(dòng)下，網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪作為一個(gè)新興的技術(shù)為業(yè)界所關(guān)注，并在2020年被咨詢(xún)機(jī)構(gòu)評(píng)為中國(guó)網(wǎng)絡(luò)安全十大創(chuàng)新方向和熱點(diǎn)。

網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪是針對(duì)網(wǎng)絡(luò)空間中的數(shù)字化資產(chǎn)，通過(guò)掃描探測(cè)、流量監(jiān)聽(tīng)、主機(jī)代理、適配器對(duì)接、特征匹配等方式，動(dòng)態(tài)發(fā)現(xiàn)、匯集資產(chǎn)數(shù)據(jù)，并進(jìn)行關(guān)聯(lián)分析與展現(xiàn)，以快速感知安全風(fēng)險(xiǎn)，把握安全態(tài)勢(shì)，從而輔助用戶(hù)進(jìn)行指揮決策，支撐預(yù)測(cè)、保護(hù)、檢測(cè)、響應(yīng)等安全體系。

的確，網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪這個(gè)技術(shù)為解決資產(chǎn)安全管理這個(gè)老大難問(wèn)題帶來(lái)了新的思路，是解決好資產(chǎn)安全管理的有效手段。事實(shí)上，網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪并不是一個(gè)全新的技術(shù)。1997年，F(xiàn)yodor發(fā)表文章《The Art of Port Scanning》，并發(fā)布Nmap的第一個(gè)版本，標(biāo)志著網(wǎng)絡(luò)資產(chǎn)探測(cè)技術(shù)的開(kāi)始，2002年左右，利用Google搜索引擎來(lái)進(jìn)行入侵的手段Google Hacking出現(xiàn)，2009年舉辦的黑客大會(huì)DEFCON會(huì)上，一位名叫約翰•馬瑟利的黑客發(fā)布了一款名為“Shodan”的搜索引擎，可以搜索互聯(lián)網(wǎng)上聯(lián)網(wǎng)的設(shè)備，“傻蛋”也被評(píng)為互聯(lián)網(wǎng)上最可怕的搜索引擎。

廣為人知的公網(wǎng)測(cè)繪搜索引擎，主要往快速、無(wú)感、欺騙技術(shù)對(duì)抗、全量探測(cè)（全量IP、端口、全協(xié)議）和大數(shù)據(jù)分析方面發(fā)展，但即使全球IPV4地址的全量探測(cè)都是巨大的挑戰(zhàn)，更不用談IPV6。

另一方面，公網(wǎng)測(cè)繪引擎更多是互聯(lián)網(wǎng)視角，比較宏觀(guān)，基本以主動(dòng)掃描為主要探測(cè)手段，多聚焦IP資產(chǎn)（端口、服務(wù)應(yīng)用），更像是一個(gè)數(shù)據(jù)和情報(bào)獲取工具，攻擊者也會(huì)受益于這項(xiàng)技術(shù)尋找目標(biāo)單位的資產(chǎn)。

對(duì)一個(gè)政企機(jī)構(gòu)來(lái)講，希望完整了解自身在內(nèi)外部網(wǎng)絡(luò)空間的所有資產(chǎn)，對(duì)全面性（全端口、多協(xié)議、數(shù)字資產(chǎn)）、準(zhǔn)確性或與自身的關(guān)聯(lián)性（域名、公司名稱(chēng)、logo、特有名詞）要求很高。同時(shí)，內(nèi)部網(wǎng)絡(luò)環(huán)境不同于Internet，探測(cè)本身對(duì)生產(chǎn)系統(tǒng)的影響也要考慮，并且不能僅依賴(lài)掃描或流量就能完成所有資產(chǎn)數(shù)據(jù)的準(zhǔn)確收集。結(jié)合多年的實(shí)踐，我們認(rèn)為網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪在政企機(jī)構(gòu)資產(chǎn)安全管理中的落地需要關(guān)注的點(diǎn)如下：

對(duì)一個(gè)政企單位而言，一般分為互聯(lián)網(wǎng)（公網(wǎng)）和企業(yè)內(nèi)網(wǎng)（私網(wǎng)），其中互聯(lián)網(wǎng)資產(chǎn)需要從攻擊者視角出發(fā)，從外到內(nèi)看企業(yè)暴露在互聯(lián)網(wǎng)上的資產(chǎn)和弱點(diǎn)，關(guān)注的不僅僅是IP化資產(chǎn)和應(yīng)用，如服務(wù)器、域名、證書(shū)、高危端口和易危資產(chǎn)、錯(cuò)誤配置、弱口令、POC和版本型漏洞等，還包括對(duì)開(kāi)源社區(qū)、暗網(wǎng)、網(wǎng)盤(pán)、文庫(kù)、公眾號(hào)小程序等數(shù)字化資產(chǎn)的監(jiān)控與發(fā)行，并能關(guān)聯(lián)外部情報(bào)響應(yīng)威脅。

能力構(gòu)建方面，可自己造輪子，前提是有足夠的投入和持續(xù)的維護(hù)，也可外購(gòu)專(zhuān)業(yè)安全公司的互聯(lián)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)監(jiān)控SaaS服務(wù)，由專(zhuān)業(yè)團(tuán)隊(duì)提供定期的資產(chǎn)和暴露面風(fēng)險(xiǎn)探測(cè)報(bào)告、漏洞精準(zhǔn)預(yù)警和應(yīng)急支持服務(wù)等，并可通過(guò)賬號(hào)自行使用。

針對(duì)內(nèi)網(wǎng)，建立資產(chǎn)安全管理平臺(tái)，通過(guò)在不同區(qū)域部署主動(dòng)測(cè)繪探針、API適配器對(duì)接現(xiàn)有系統(tǒng)等方式采集資產(chǎn)數(shù)據(jù)，補(bǔ)充資產(chǎn)的業(yè)務(wù)和管理屬性數(shù)據(jù)?；诓煌瑏?lái)源的數(shù)據(jù)可進(jìn)行交叉驗(yàn)證，尋找安全控制措施的間隙，通過(guò)風(fēng)險(xiǎn)探測(cè)發(fā)現(xiàn)需要優(yōu)先處理的漏洞，并通過(guò)域間的訪(fǎng)問(wèn)關(guān)系可實(shí)現(xiàn)脆弱性推演，當(dāng)然，有條件的可輔以流量和agent手段來(lái)發(fā)現(xiàn)資產(chǎn)?；ヂ?lián)網(wǎng)端資產(chǎn)的數(shù)據(jù)可通過(guò)SaaS系統(tǒng)導(dǎo)入到資產(chǎn)安全管理平臺(tái)或通過(guò)私有化的探測(cè)引擎收集數(shù)據(jù)。

經(jīng)過(guò)眾多客戶(hù)實(shí)踐和驗(yàn)證，資產(chǎn)安全管理平臺(tái)應(yīng)在日常的安全運(yùn)營(yíng)工作中充當(dāng)“作業(yè)平臺(tái)”的角色，聚焦資產(chǎn)管控率、風(fēng)險(xiǎn)發(fā)現(xiàn)和1DAY漏洞應(yīng)急：

在大型攻防演練等戰(zhàn)事活動(dòng)中，能基于現(xiàn)網(wǎng)的脆弱性數(shù)據(jù)與域間訪(fǎng)問(wèn)關(guān)系，進(jìn)行攻擊路徑推演。保持總體資產(chǎn)安全態(tài)勢(shì)感知并專(zhuān)注于保護(hù)關(guān)鍵任務(wù)資產(chǎn)，優(yōu)先考慮暴露面的影響范圍，輔助決策、指揮作戰(zhàn)：

五、展望

Gartner于今年7月發(fā)布了《Hype Cycle for Security Operations, 2021》，提到了EASM（External attack surface management）和CAASM（ Cyber asset attack surface management）兩項(xiàng)新的技術(shù)，可基本對(duì)應(yīng)上述的兩種場(chǎng)景和方案。

EASM解決企業(yè)在互聯(lián)網(wǎng)上已知、未知資產(chǎn)及其漏洞的發(fā)現(xiàn)，包括攻擊者可以在公眾域看到的云服務(wù)和應(yīng)用，以及第三方供應(yīng)商軟件漏洞，提供持續(xù)監(jiān)控、資產(chǎn)發(fā)現(xiàn)、關(guān)聯(lián)分析、風(fēng)險(xiǎn)優(yōu)先級(jí)判定和緩解五個(gè)方面的能力，從外到內(nèi)的視角看企業(yè)的攻擊面。

CASSM則著力于讓安全人員可以以全局的視角看資產(chǎn)和漏洞，通過(guò)和已有系統(tǒng)的API集成讓企業(yè)看得見(jiàn)所有的資產(chǎn)，并給安全、運(yùn)維、應(yīng)用在內(nèi)的各種人員提供統(tǒng)一查詢(xún)和消費(fèi)的數(shù)據(jù)，識(shí)別出漏洞影響面及安全措施的間隙，同時(shí)緩解與改進(jìn)這些問(wèn)題。

團(tuán)隊(duì)小伙伴過(guò)去幾年在部分頭部客戶(hù)的實(shí)踐與Gartner的上述兩項(xiàng)技術(shù)洞察基本一致，只是Gartner預(yù)測(cè)成熟期需要5-10年，個(gè)人表示不敢茍同，數(shù)字化轉(zhuǎn)型、新冠疫情和當(dāng)前國(guó)際環(huán)境會(huì)加速這個(gè)過(guò)程，不過(guò)要真是10年的話(huà)，基本可以干到退休了：）

當(dāng)然，實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)，我們將沿著“真掛圖，掛真圖”的路徑，著眼于解決客戶(hù)的真正痛點(diǎn)，為中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)帶來(lái)一些不同的東西，踏踏實(shí)實(shí)在這個(gè)細(xì)分領(lǐng)域堅(jiān)持下去，不忘初心，砥礪前行！