正文

护网场景实践:资产攻击面管理如何助力安全运营工作

admin
admin V管理员 /0 评论 /9 阅读
0801
文章最后更新时间2025年08月01日,若文章内容或图片失效,请留言反馈!

对于安全运营工作,资产管理已是老生常谈的命题,从企业信息安全建设的第一天起,“理清资产”就被反复强调。

但每逢护网行动,资产问题总会如期而至:“影子资产”暴露造成防御盲区,资产与漏洞关联模糊拖慢响应,“僵尸资产”沦为攻击缺口……这些疏漏常让安全团队陷入低效被动的响应工作,甚至造成关键节点失分。而做好资产攻击面管理和收敛,成为近年来应对资产管理难题的关键共识。

随着2025年国家护网告一段落,我们一起看看企业在安全资产运营中的先进实践。

在历年的护网行动中,安全资产和漏洞问题就已层出不穷,典型的有以下场景:

资产数据质量差

一直以来,在几年前的IT资产清单基础上,经年累月地进行人工加工、处理,导致错误资产数据被反复使用,影子资产范围不断扩大,虽通过日常运营可以发现一二,加以修正,但始终不能彻底根除:

  • 登记数据失真

    将不同年限、不同回收周期的设备合并录入单张资产卡片,资产周期数据失真,直接造成高危漏洞修复周期成倍延长。

  • 资产数据孤岛

    业务侧记录的系统简称与安全侧记录的全称不对应,且缺少唯一标识,两方数据对不上,系统上线前拿不到准确的受影响设备资产台账。

  • 人工登记错误

    虚拟机、物理机、云上资产在融合时关键属性缺少定义,相似属性录入错位,后续继承人员在错误的数据上再加工,在安全事件追溯时IP查询结果失真。

漏洞管理效率低

通过成熟的漏洞管理系统,已经满足日常漏洞排查、修复等需求,但漏洞管理系统无法独立满足全面防护需求,必须与业务情况和防护手段相结合:

  • 漏洞排查容易遗漏

    漏洞排查阶段,由于未纳管哑终端资产,导致忽视了已存在的高危漏洞,攻击者利用漏洞渗透到内网后,又缺乏手段快速排查受影响的资产范围。

  • 漏洞优先级不恰当

    护网期间面对几万条漏洞告警,只能按照CVSS维度排序,优先处理了测试环境中的"高危"漏洞(实际无业务流量),而核心交易系统的中危漏洞(CVSS 7.5)未及时修复,被攻击者利用。

责任归属不清晰

历史原因,资产归属不清和业务混乱问题堆积如山,系统边界、管理边界等特殊场景更存在大片治理盲区:

责任归属缺失

因责任人离职且无交接记录,设备资产无人负责,导致处置流程停滞,漏洞也因责任不清延误修复。

业务归属错误

在响应APT攻击时,由于资产所属的业务信息错误,误关闭重要业务的端口,直接导致业务中断运行,造成直接损失。

护网前,安全运营团队对已有资产及暴露面进行了全面盘点,确保资产可见,风险可知,主要包括以下工作:

某头部银行:全面排查影子资产

  • 背景:

    影子资产(未登记在CMDB或未纳入监控的资产)常成为攻击跳板,传统方式很难主动识别,需人工导出防火墙、交换机、云平台的活跃IP列表,再与CMDB全量资产做Excel比对。

  • 方法:

    攻击面管理平台通过“多源数据融合”的技术,自动融合并对比以下数据源的IP信息,筛选出流量中发现但未登记和防护的影子资产:

  • 流量监控设备

  • HIDS资产台账

  • 漏洞扫描存活主机

  • CMDB登记资产

  • DNS解析记录

  • 效果:

发现存在终端流程绕过问题,经过3个月的持续运营,将发现的1200+影子资产完成清零。

某头部银行:无主资产清零

  • 背景:

CMDB中部分资产因登记问题、资源分配导致“负责人”字段为空,需安全或运维人员逐一处理,且处理效率低下。

  • 方法:

利用攻击面管理平台对“负责人=空”的资产执行以下操作:

  • 资产寻亲:结合设备的流量访问关系、指纹信息、网段归属信息、登录日志等,生成资产归属报告,基于报告逐步勾勒资产画像,缩小归属排查范围。

  • 批量确认:基于寻亲结果下发工单到业务部门,批量确认资产归属,并补充责任人信息。

  • 强制下线:对无人认领的资产采取强制下线的方式预警,倒逼业务部门进行最终确认。

效果:

经过3个月左右的运营,无主资产完成清零,累计处理无主资产3000台。

某股份银行:推动RASP全覆盖

背景:

在护网行动前,客户刚完成RASP产品的采购和试点区域部署,需在护网前完成全面覆盖,提升护网期间对内存马等攻击的防护能力。

方法:

利用攻击面管理平台配置筛选条件:

  • 形成部署清单:筛选具备相应Java中间件的服务器,形成RASP部署清单,并按照业务实际情况,优先覆盖互联网侧的服务器,逐步实现全面安装。

  • 验证覆盖率指标:配置覆盖率指标并将RASP数据接入到攻击面管理平台,验证RASP Agent的覆盖情况。

  • 定期防护监测:定期更新RASP数据,对下线的情况进行告警,提醒安全人员重新启用RASP防护。

效果:

在护网前1周内基本实现RASP的Agent全面覆盖,整体提升了护网期间系统的安全防护能力。

在今年护网期间,防守方利用攻击面管理平台辅助开展资产运营和应急响应工作,我们总结了以下典型场景案例:

某股份制银行:资产查询智能体

背景:

应急响应时的资产排查流程中,安全运营人员需手动登录4-5个系统(如CMDB、HIDS、漏洞管理平台)交叉查询IP的归属部门、责任人、业务系统等信息,整体研判效率较低。

方法:

将攻击面管理平台IP一键查询的功能以API接口形式开放给AI智能体调用,安全运营和应急响应人员可直接在AI智能体平台进行资产查询,资产信息自动融合关联以下关键信息:

  • 资产基础信息:主机名、操作系统、开放端口、服务版本

  • 归属信息:所属业务系统、部门、直接责任人、运维团队

  • 关联信息:关联网段资产、历史漏洞记录、HIDS告警趋势

效果

资产查询耗时缩短至几秒钟,资产属性更加完整,且支持批量的资产查询和分析。

某头部券商:调优应急响应机制

背景:

突发APT攻击告警时,需快速定位失陷主机责任人及受影响资产范围,传统需登录HIDS、EDR、CMDB等多系统查询,平均响应时间30分钟以上。

方法:

利用攻击面管理平台提前对资产进行关联,并借助网络配置数据构建内外网映射拓扑图,护网期间支持以下响应方案:

  • 一键溯源:输入攻击IP/域名,自动返回主机责任人、最近登录账号、关联业务系统、资产漏洞等相关信息。

  • 扩散分析:基于内外网映射拓扑图和流量拓扑图,展示相关设备及实际业务承载服务器。

效果:

为应急响应提供有力支撑,应急响应中资产排查的平均时间从30分钟缩短至2分钟。

某头部券商:漏洞组件快速排查

背景:

护网期间需排查麒麟系统的漏洞组件,快速定位受影响资产并推动修复,通常人工统计需耗时3-5天,且难以追踪修复进度。

方法:

借助攻击面管理平台基于软件版本快速排查受影响资产:

  • 漏洞评估:在软件列查询漏洞影响版本组件,关联到IP、负责人和操作系统,直接定位漏洞影响资产范围。

  • 漏洞修复:基于攻击面管理平台对所有漏洞进行统一管理,对接公司工单系统并下发修复工单。

  • 专项监测:配置专项工作台,利用可视化指标监测漏洞修复的情况。

效果:

实现了对0day漏洞的快速盘点,发现可能受漏洞影响的资产,进一步推动相关业务人员进行修复。

护网的阶段性成果,印证了日常资产治理和运营的成效。资产管理作为安全运营的根基,其重要性在攻防对抗中不言而喻,持续运营消除安全隐患,护网时便能事半功倍,面对真实攻击时也才能游刃有余。

国内安全验证的开创者和领军者


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网