甜橙安全头条第19期|一种新型资产安全运维平台思路分享

之前常听朋友说某某企业站点被黑、被入侵到内网、库也被脱了，该企业的管理人员也没有思绪，他觉得防火墙、IPS等安全设备应有尽有，ACL上也做了很好的控制，业务站点也做了安全检测，为什么整个系统安全还是这么不堪一击呢？后来做了很久的回溯审查才发现黑客并未从正在使用的业务系统入手，而是从该企业的一台脱离管理、历史遗漏、无人知晓的设备（所谓“三无六边”系统）入手。大家都了解“木桶原理”，木桶盛水的能力完全取决于最短的那块板，那么该企业安全的短板也就在这“三无六边”系统上，这种长期暴露在外，无人知晓和管理的系统，随着时间的推进，必然存在各种各样没有修复的漏洞，从而给黑客有了可乘之机。

企业资产如何管理，才能够对内部资产进行全面的无遗漏的管控。在此基础上如何能够对资产的漏洞进行及时的发现、跟进和处置，无死角识别内网的风险，无疑是每一个安全运维人员都要考虑的问题。除了每天关注攻击态势、权限管控、日志审计之外，还有一项较为重要的就是内网风险的识别，一种持续识别风险，持续修复改进的过程（这里主要从技术层面考虑）。

1. 如何对内网资产进行全面的梳理，杜绝“三无六边”系统的存在。

“三无六边”，从字面理解就知道这种系统是属于无人认领、无人知晓、无人管控的系统，边缘在我们不知道的危险角落。很多传统企业一般被外部暴露出问题时才发现原来还有这台机器，而这台机器在自己的资产系统或者资产表根本无法查询到，这种系统长期暴露在公网，无人维护，时间一久必然存在很多漏洞。互联网上黑客就很容易从这些机器下手，渗透到内网，导致站点被黑，数据被拖库，主机变肉鸡进行挖矿或者对外DOS导致出口堵塞，业务瘫痪等问题，这些问题屡见不鲜。传统通过表格或者基本的需要人工录入和更新的企业资产管理，无法弥补和避免这类“三无六边”系统的存在。

2. 如何能够通过系统自动化实现漏洞发现、跟进、修复以及复测，代替传统人工进行的操作。

安全运维工程师一个基本的工作就是针对内网资产进行例行的漏洞扫描，扫描的工具有开源的（如nessus）、也有商业的（如绿盟、启明等）。当扫描发现问题需要派工单给相关责任人进行修复，责任人在修复前需要在测试环境中进行测试，评估修复影响然后进行修复，修复完成后安全人员进行复测，复测通过后流程结束，工单关闭。一般修复方案包括打补丁、升级版本、配置加固、ACL控制等，针对暂时无法进行修复且未暴露在公网上的漏洞也会进行排期，汇总放在某个大的维护时间点操作。整个过程就是一个持续发现漏洞，识别资产风险，并不断进行修复跟进，消除风险的过程。

传统内网风险的正常处置流程如下图，