5.3 资产管理
5.3.1 网络安全如何影响资产管理
本节介绍网络安全威胁如何影响资产管理价值链。
(1)网络安全风险可以在整个价值链中体现出来,特别是在窃取客户数据和知识产权及支付欺诈方面存在风险。
(2)鉴于第三方的大量使用和供应商的复杂网络,客户数据由第三方管理员和托管银行进行处理时存在风险。
(3)对基础设施和市场公用设施的使用和依赖有所增加。特别是在整个价值链中,由云服务提供商来支持资产管理的网络安全风险是多方面的。
5.3.2 资产安全管控关键技术
5.3.2.1 资产存活性检测
资产存活性检测用于检测网络中资产的在线状态。资产存活性检测可以采用登录采集法和远程扫描检测法。它可以灵活地根据不同的网络环境选择资产发现方法,找出企业资产的生存状况,从而掌握企业的在线和离线资产。
登录采集法:通过登录业务系统网络,采集路由/交换设备的配置信息,激活网络上的所有设备,汇总采集到的ARP表、MAC表、路由表、接口信息表等信息,形成完整的资产清单,实现Web资产的全量发现。
远程扫描检测法:通过向指定IP发送检测包,并根据响应确定资产的生存状态,发送的检测包可以是ARP包、ICMP包、TCPSYN/ACK包、UDP包、SCTP包等。
(1)ARP协议检测:向目标资产发送ARP请求包,如果在检测包超时之前接收到目标资产的响应包,则该资产是活动的。
(2)ICMP协议检测:向目标资产发送ICMP请求包,根据响应消息的类型确定资产的活动状态。
(3)TCPSYN/ACK协议检测:向目标资产发送TCPSYN/ACK检测包,如果检测包超时前目标资产的TCP响应消息是RST包或SYN/ACK包,则该资产将继续存在。
(4)UDP协议检测:向目标资产发送UDP检测包,如果在检测包超时之前接收到目标资产的UDP响应包,则该资产将继续存在。
(5)SCTP协议检测:向目标资产发送检测包,如果在检测包超时之前接收到目标资产的SCTP响应包,则该资产将继续存在。
5.3.2.2 资产指纹信息识别
在资产存活性检测的基础上,要采集幸存资产的指纹信息,首先需要确定资产的端口开启度,以及端口上运行的具体应用程序及其版本信息,其次检测操作系统,最后确定资产安全基线配置、漏洞并搜集其他信息。指纹信息主要包括以下内容:
(1)开放口岸:资产对外开放的口岸信息。
(2)软件版本:有关资产上运行的软件版本的信息。
(3)操作系统:资产的操作系统类型和版本信息。
(4)安全基线配置:资产配置信息,用于检查是否存在不符合的配置。
(5)网站漏洞:网站漏洞信息,用于检测弱密码和数据库攻击。
(6)系统漏洞:利用资产系统漏洞信息发现潜在漏洞。
资产指纹采集方法主要包括远程检测和登录采集。远程检测方法是通过发送数据包主动检测网络资产,通过返回消息信息来识别资产指纹信息。登录方式是连接网络中的4A系统(集成了账户管理、授权管理、认证管理、审计管理等功能的身份和访问管理系统),通过4A系统的指令通道获取指纹信息。远程检测可用于未知资产指纹采集,已纳入4A系统控制的资产可以使用指令通道直接获取资产指纹信息。
a)远程检测方法:通过向指定IP发送检测包,并根据响应判断资产指纹信息,发送的检测包可以是TCP包、ICMP包、UDP包等。
b)登录采集方法:对于已经纳入4A系统控制的资产,可以通过4A系统命令通道接口获取资产指纹信息。4A系统命令通道接口是指为各种维护或管理平台和维护人员开发的自动化程序,其提供的程序调用接口可以解决通过4A系统自动访问和访问资源的问题。因此,只需要为指纹信息采集准备一个自动脚本程序,即可通过指令通道提取资产指纹信息。
5.3.2.3 资产安全信息管理
资产安全信息管理主要包括可生存性和安全指纹信息管理。根据网络服务的具体需求,对指定扫描范围内的所有IP地址进行周期性的生存检测,找到存活资产,然后获取存活资产的指纹信息。将获取的资产指纹信息与历史资产快照进行对比,查看资产指纹信息是否发生变化,并全面分析资产的安全基线和漏洞。
(1)通过远程扫描定期检测资产库中设备的生存状态。如果设备不在线,则检查设备是否离线,确认离线后更新资产库信息,如果设备非正常离线,则显示资产异常报警;如果发现设备存活,则获取资产指纹信息。
(2)将采集的资产指纹信息与历史资产快照进行比较,查看资产指纹信息是否有变化。如果没有变化,继续定期检测资产库设备的生存状态;如果有任何信息变化,分析变更后的信息是否存在隐藏的安全隐患,并对整个存在的生命周期进行闭环管理,以发现存在的安全隐患。
5.3.3 网络资产管理体系
1. 资产管理关键点
毕马威会计师事务所(KPMG)建议,资产管理公司应专注于以下五个关键领域,以应对网络风险。
(1)所有权。网络安全需要由企业高层拥有。但许多资产管理公司仍然没有首席信息安全官(CISO),而是由资产管理公司管理网络。更多的资产管理公司需要认真考虑任命一名CISO,由CISO直接向首席运营官汇报,在业务和风险之间建立一条清晰的界线。
(2)能力。可能需要新的和改进的网络安全能力,但资产管理公司也希望评估它们目前的网络安全卓越“口袋”,并确保这些最佳做法在整个企业中共享。领先的组织正从确保其现有能力得到充分利用开始做起。
(3)意识。从C级开始向下增强意识是关键。特别是资产管理公司需要专注于提高对其第三方供应商生态系统(基金管理人、保管人、平台提供商)的了解,以一致的方式管理其风险。
(4)组织。首席执行官们将需要与他们的商业领袖合作,以了解集中和分散服务的正确平衡,以最适当地应对每个市场的网络风险。为稳健和一致的网络安全创建正确的结构是形成负责任响应的关键。
(5)准备工作。成功启动应对和恢复方案需要实践、承诺和明确的责任线。许多资产管理公司发现,模拟网络事件的“红队”演习给人们敲响了警钟,它促使资产管理公司紧急加强发现和应对攻击的能力。
2. 资产管理架构
网络资产安全管控体系结构可以利用SDN/NFV网络的控制和转发平面分离、集中控制、开放可编程等特点,实现统一的安全管控和安全能力重构。利用安全资源虚拟化技术抽象网络中的安全功能,形成满足特定安全需求的安全虚拟机。安全编排和控制器动态地编排安全策略、安全功能和网络流量,在按需部署和动态扩展安全资源的同时实现可重构性,提供满足企业和客户需求的资产安全评估服务。
(1)安全服务。安全服务模块是整个系统的核心,负责处理系统的安全业务逻辑。
(2)安全编排和控制器。负责安全设备策略、安全功能、网络流量的动态管理和编排,通过监控网络设备和安全设备的运行状态搜集相关安全数据。
(3)资产安全管控平台。负责搜集资产指纹信息与日志信息间的关联分析,对发现的安全问题进行全生命周期闭环管理。在安全分析过程中,发现异常情况进行预警,调整安全统筹和调度,调整安全方针。
(4)SDN控制器。根据业务需求,负责生成和发布各厂商网络或逻辑域内网络的路由、QoS等策略。
(5)MANO。实现安全资源管理、虚拟化安全网络元素生命周期管理、初始配置。
(6)安全资源池。包含交换机、路由器等安全设备和网络设备。
3. 资产安全评估
下面以漏洞扫描服务为例,简要介绍具体操作流程如下:
(1)申请网络资产所需的漏洞扫描服务,并将漏洞扫描服务任务发送给安全业务流程和控制器。
(2)安全编排和控制器应根据漏洞扫描的资产范围,确定漏洞扫描服务路径经过的所有节点,并将流量调度策略发送给SDN控制器,将漏洞扫描设备配置策略发送给MANO。
(3)通过漏洞扫描服务路径的所有节点,由控制器控制发布SDN流表、构造安全服务链。丢失的扫描设备由MANO进行初始化操作、安全业务流程梳理和安全策略配置。
(4)执行漏洞扫描服务,并将执行结果和日志信息反馈给资产安全管控平台。由资产安全管控平台进行相关分析和展示,必要时调整安全计划。
5.3.4 资产管理的作用
如果没有坚实的计划和精简的流程,就很难从一个地方跟踪和管理所有的硬件资产、软件资产、虚拟资产和非IT资产。资产管理流程的实现可以帮助公司减少额外的维护成本,优化使用许可证,减少未使用的资产数量并降低安全风险,为审计做好准备,提高其他ITIL流程的效率,使其有效地帮助采购做决定,制定精确的预算,做更多的事情。
量化未使用的硬件和软件应用程序的总价值,有助于优化资产使用并减少额外的维护成本。此外,还需要识别被盗的硬件和软件应用程序。根据Gartner的数据,每年约有5%的资产被盗。为了尽可能地减少因盗窃而造成的损失,公司应该尽快识别和替换被盗的组件。
除此之外,公司应为未来做好计划。通过评估老化的硬件对IT资产的不利影响,可以避免产生重大的损失。这有助于公司决定新的资产购买和处置或修理老化的设备。通过提供有关事件、问题或因更改而受影响的资产的准确信息,为其他ITIL资产流程提供支持。这有助于确定事件的影响和进行根本原因分析,通过优化资产使用和控制IT资产购买来减少不必要的IT支出。
总的来说,关于资产管理可以对企业产生以下作用。
1)发现、管理和跟踪所有硬件资产
通过简单扫描所有Windows设备、非窗口设备、VM和网络设备资产扫描技术获取全面的资产信息,如硬件规范、安装的软件、扫描历史记录、资产所有权历史记录和单一玻璃窗格中的资产状态。建立和维护一个单独的库存来管理所有的非IT资产。
2)映射与CMDB的资产关系
通过在人员、资产和其他配置项(CI)之间建立关系来创建高度的协同作用。使用预定义和自定义关系类型可以直观地查看资产关系。通过在CMDB中构建IT基础结构的逻辑模型,启用有效的问题管理和更改管理计划。
3)管理软件,确保软件的符合性
通过监视软件使用情况(未使用、很少使用等)、安装数量、许可证类型、遵从性状态和许可证过期来改进软件治理。
4)跟踪IT资产购买和合同
管理完整的生命周期,订购单有系统的审批和交付过程。维护公司拥有所有资产的完整产品目录,并提供价格和保修细节。维护供应商目录,比较不同供应商的价格,并分析采购趋势以利于谈判。跟踪IT合同,并提前收到合同到期的通知。
上面讨论的资产管理最佳实践,涵盖了资产管理流程的大部分内容,从检测资产到将资产管理与其他ITIL流程集成到持续改进的资产管理。企业需要注意那些独特的优势和一些工具提供的开箱即用的特性,以便在商业竞争中获得优势。