谁动了你的“奶酪”？从资产清点角度谈主机安全

   近年来，随着云和虚拟化技术的出现，主机资产开始急剧增加，部署在服务器上的应用更是呈几何级增长。但很少有企业的安全管理人员能够清楚知道公司有多少台服务器，更不知道每台服务器上又跑着什么样应用和进程。这就犹如租赁了一批保险箱，但每个保险箱分别存放着什么物品却一概不知。相信生活中没人会允许类似事发生，但在网络世界中，这却是众多企业面临一个“常态”。

  前几天和一个在甲方企业做安全管理朋友吃饭，他吐槽自从入了这行，感觉每天都提心吊胆。这不禁勾起我好奇心，以他的能力水平怎么可能每天都过得如此诚惶诚恐呢？但在跟我讲述完他们团队最近遇到一个安全事件后，我彻底理解他的处境了。

   事情是这样的，某天凌晨，网上爆出一个0Day漏洞，他所在安全管理部门想要尽快确认受该漏洞影响的服务器范围，以便在最短时间内做出应对。但是，公司业务复杂，在服务器上跑的应用更是数不胜数。安全管理人员甚至不知道企业有多少服务器。因此，只能通过公司发文，要求各业务线提交自身业务系统部署情况。接下来就是漫长等待，等待厂商漏洞通告，编写检测脚本查找存在漏洞的主机，等待厂商漏洞修复方法，编写修复脚本，最后一台台修复问题主机。

    在整个事件响应过程中，朋友既不知道业务部门上报的资产全不全，也不知道检测脚本是否扫描到所有包含漏洞的主机，更不知道在此期间是否有黑客已经入侵到企业内部。

    传统主机资产清点，“三低”要命

    现如今，很多公司安全管理人员仍然会采用IP资产发现或者扫描工具作为资产清点重要手段。这些方式发现的资产有限，只能获得端口、系统版本等信息。甚至，有的公司还在用电子表格统计公司的网络资产。经常是一群人，花几个月时间，统计出一堆“资产登记表”，虽然看上去“硕果累累”，实则毫无价值。传统资产清点存在致命“三低”问题：

①实时性低：

    传统意义的资产管理，主要通过部门上报、定期检查以及表格统计的方法进行管理，汇总周期长且统计结果不准确，导致上交材料早已是“过期”内容。

②覆盖度低：

    随着云、虚拟化技术快速发展，人工资产统计几乎不可能，一台物理机可以变成很多虚拟机，而每一个虚拟机上又可能运行着很多应用系统。在这样背景下，人工资产统计很难覆盖到所有服务器，更无法覆盖到服务器上的应用、进程等内容。

③准确度低：

    很多企业资产清点仍然采用外部检测，比如传统扫描器等，这类工具大多基于特征，因此存在大量误报、漏报。同时，传统资产清点只是站在资产统计角度而不是站在安全角度收集信息，其收集的数据安全价值自然不高。

    新一代主机资产清点，“三看”可靠

  如何帮助企业“看得全、看得清、看得透”自身资产，已经成为企业安全建设中首先需要解决的问题。新一代主机资产清点，为企业提供全面及时的资产数据，在碰到安全事件时，能缩短排查问题的时间周期。

①看得全：

    看得全是资产清点初级境界。传统基于人工或扫描工具发现主机，很难精准看清全网主机资产。青藤新一代主机资产清点，通过安装 Agent，可在 15 秒内从正在运行的环境中，反向自动化构建主机业务资产结构，上报中央管控平台，集中统一管理。独特的主机发现系统，随时发现网络环境内没有纳入安全保护的主机，确保安全覆盖无死角。此外，对Web资产与数据库资产等高价值高敏感业务资产，进行了针对性资产建模，与风险发现和入侵检测功能配套提供安全保护。

②看得清：

    看得清是资产清点第二重境界。传统资产清点方案无法匹配业务变化，也无法及时发现主机上承载软件应用、端口服务、内核模块等内容。青藤新一代资产清点，在完成主机发现、应用清点之后，将保持对资产持续监控，保证监控数据与实际业务数据一致。对一些需要特殊关注的敏感资产（如：账号、进程、端口，数据库，Web 站点等）发生变化，将提供实时或定时通知，实现资产动态保护。

③看得透：

    看得透是资产清点第三重境界。这里看得透是指具备细粒度资产清点体系和关联分析能力。在企业安全检查时，通常需要提供针对性的信息，但面对庞大分散的主机数据，信息梳理效率极低。在发生安全事件时，通常需要获得多角度，跨时间段、跨系统、跨机构的数据进行关联分析。青藤新一代主机资产清点结合通用安全检查规范与安全事件的数据需求，形成细粒度资产清点体系，利用多维度的视图，引导用户轻松获得需要的资产信息，帮助用户快速定位关键资产信息。此外，对Web资产与数据库资产等高价值、高敏感业务资产，除进行针对性资产建模，还能与风险发现和入侵检测功能联动，提供全面安全保护。

    安全建设，清点先行

   认知黑客不如认知自我，企业如果掌握了自身资产状况，以及自身业务的安全状况，就能做到从容不迫的应对风险。青藤新一代主机资产清点从安全角度出发，结合通用安全检查规范与安全事件的数据需求来构建业务型资产对象。

   青藤新一代资产清点作为数据支撑平台，已与青藤主机自适应平台中的风险发现和入侵检测系统全面关联，实现一键查看。同时，用户可使用资产API 系统导出资产数据，可将其导入其它系统中作为情报信息，也可以作为大数据分析模型的素材和上级汇报材料。这正是基于青藤多年积淀的自适应安全理念，从“安全角度重新定义资产”。