在这个章节,我们希望通过几张图跟您展示深信服XDR的资产治理思路以及资产生命周期管理流程。
以资产的安全运营流程来说,通常分为以下两大类:资产发现以及分类、资产更新以及维护,结合深信服的安全运营经验,我们将资产治理按照日常业务纬度分为以下四个部分,分别是资产识别、资产入库、资产更新以及资产退库。
其中整体平台的资产大致流转过程如下所示,下图展示了资产台账、待审核资产以及退库资产三者之间的状态流转关系。
退库资产中资产如果编辑了退库策略导致退库资产偏离了退库规则,则不符合编辑后退库策略的资产退库资产就会进入资产台账。
通常在谈到资产治理需要先明白一点由于组织的不同、业务复杂度的不同,于是资产治理不是单纯的技术问题,需要一样运用安全运营的思路通过人+流程+工具进行解决。适合组织的流程让资产治理井井有条,适合组织的资产治理工具提高资产治理的效率。经过上面的分析,我们可以得到类似以下的一张表格,如下图所示
其中安全运营日常工作中跟资产相关的日常事务有资产识别、资产入库、资产更新、资产退库;由于资产不同状态下对应的资产类型会发生变化,于是新建一行展示资产类型;并且在不同的场景下,资产所属的资产阶段也不同,通过这一列区分常见场景中资产类型,以指导资产治理;由于治理过程中会使用到XDR平台的功能,于是新增一行展示在对应场景下一般会使用到哪些XDR的功能;最后由于资产治理一定是需要流程为主,技术为辅的进行资产治理,于是新增两行,工单流程与组织结合任何流程将资产治理运营起来。
资产管理的第一步就是资产识别,常见的资产识别有主动识别以及被动识别和历史离线的资产台账导入,资产识别的目标就是尽可能发现组织内的存活资产。
根据场景分可以分为组件(设备)识别以及人工导入两个场景,其中组件(设备)识别一般需要将设备跟XDR平台进行对接将组件(设备)识别到的资产信息上报给XDR;人工导入的场景一般是历史用表格离线管理的资产信息需要导入到XDR中进行统一的资产管理。
在资产识别中由于需要设备对接,因为对接的设备类型各不相同,为了快速接入资产以及资产的属性信息,XDR通过产品接入、API接入、第三方CMDB接入和常见准入对接等功能支撑用户处资产的快速接入。此时的资产类型属于组织内已经识别到的资产但未形成资产台账。
由于资产的动态变化以及加上现在组织网络环境的复杂程度,导致资产识别肯定不是一次性的工作,需要有流程的有固定频率的进行,以保障资产存活的有效性以及准确性,于是需要对应的组织设计对应的流程保质保量地完成该部分的工作。根据深信服的安全运营经验,建议在资产识别阶段可以将资产定期探测流程进行电子化,并安全监控组进行执行。
详细该部分补充图见下图所示:
经过资产识别这一环节之后,我们得到了组织内的存活资产,至少我们大概对组织内的存活资产有底了,这个时候一般都会思考一个问题,是不是所有的存活资产组织都需要进行管理?经过更深入的思考,发现实际资产运营过程中经验总结来看不是所有的组织资产都需要进行管理。比如访客无线接入的资产,对于组织来说通常管理的优先级会非常低。于是在一个概念在我们的心里萌发了,资产管理的优先级。不同的资产需要有不同的管理方式以及管理流程,这个易于理解,于是我们现在需要解决一个问题:什么资产我们需要进行管理?再深入思考下,其实这个问题就是哪些IP地址范围的资产我们需要进行管理,由于现在的环境复杂性以及多样性,我们需要考虑组织是否使用了虚拟化环境、容器环境、NAT环境以及公有云环境等,这些都是考虑因素之一。
到这里,我们明白了资产入库的第一要务:组织需要足够充分的考虑目前的网络环境后去弄清楚哪些IP地址范围的资产是在我们的管理范围内的,将对应的IP网段信息填写进XDR平台上IP范围定义管理资产IP范围中,告诉XDR这些IP地址范围的都是我需要管理的资产。不需要进行管理的资产,比如分支的出口地址之类的地址,可以填写进非管理资产IP范围。
完成了第一要务之后,还需要解决管理范围内资产优先级的问题,深入思考一下,优先级其实就是分类的另一种说法,分类是为了对资产的类型进行快速区分,比如办公网终端、DMZ区域对外业务服务器、内网核心服务器、财务部门办公终端我们需要有一个手段对齐进行快速区分,为了满足这个诉求,XDR提供资产分组的功能对上述的资产进行快速分类,资产分组支持通过IP范围进行分组、通过资产上报的设备来源进行区分以及通过IP范围结合资产上报的设备来源进行资产入库。
同时资产支持进行核心资产标记,进一步满足用户在实际使用过程中需要对重中之重的资产进行标记的需求,如下图所示
这样子就解决了资产在资产入库阶段时候的基础要求(确认需要管理IP地址范围以及资产优先级的区分),有了上述的基础之后,由于需要考虑网络环境变化以及资产管理属性,还有一个问题需要我们进行思考:部分资产可能没有达到安全基线、可能没有安装EDR防护软件、可能还会存在一些资产的管理信息缺失等场景,对于更精细化管理有要求的用户还需要考虑到出现上述等情况是否要将资产进行入库,成为资产台账的一部分。
资产入库代表已经识别到的资产满足入库条件之后才属于资产台账的一部分,未入库的资产属于未知资产。
于是我们发现资产入库环节不仅要对资产确认需要管理IP地址范围以及资产优先级的区分,还存在一些精细化管理的要求。满足了条件之后才可以是资产台账的一部分。不满足的话还是属于未知资产,通过资产入库将资产分别定义成未知资产以及资产台账,更有利于设计资产工单流程。
对于资产入库的精细化条件,目前支持入库信息检查,详细的入库规则可以选择agent状态、资产组、数据源以及责任人等信息,更多支持的规则将在24年1月份的版本中发布,敬请期待!
总结一下在资产入库环节中
根据场景分类涉及办公终端、业务服务器、云上资产、多分支资产、API接口资产、数据资产等,由所有的需要保护的组织资产的IP地址构成IP地址范围;人工导入的场景一般是历史用表格离线管理的资产信息需要导入到XDR中进行统一的资产管理。
在资产入库中由于资产识别不是一次性的工作,所以资产的入库审核也不是一次性的工作,为了快速对资产进行审核入库,XDR入库条件支持灵活的策略入库以及手动入库。此时的资产类型如果通过了入库条件则为资产台账的一部分,未通过入库条件则为未知资产。
上述提到资产入库跟资产识别一样都不是一次性的工作,需要有流程的有固定频率的进行,以保障现有资产台账的有效性以及准确性,于是需要对应的组织设计对应的流程保质保量地完成该部分的工作。根据深信服的安全运营经验,建议在资产入库阶段可以将组织资产入库流程进行电子化,并安全监控组以及资产管理组协同执行。
详细该部分补充图见下图所示:
经过资产入库这一环节之后,我们对组织内的当前的资产台账已经有了一定的了解了,这个时候一般都会一个问题:如果更好的掌握资产的详细信息以及属性信息,以便于在安全事件发生时可以提供溯源所需要的资产数据支撑,以更好的满足安全运营的目标。
资产更新环节中常见的场景有DHCP场景、新业务上线、旧业务下线以及资产属性变化等场景,在上述场景中更新的一般都是资产的属性信息以及资产的用户认证信息。
在资产更新环节同样涉及设备对接,因为对接的设备类型各不相同,XDR支持通过产品接入、API接入、第三方CMDB接入和常见准入对接等功能进行资产信息更新,通常多个设备会上报同一个资产的不同属性内容信息,对于不同的属性信息,XDR会自动进行资产融合;对于多个数据源上报同一资产的同一字段时,由于网侧设备跟端侧设备识别的准确性不同,建议用户对于属性信息的展示优先级以端侧的设备为主,网侧为辅。XDR支持用户自定义调整展示资产属性(主机名、责任人、资产类型、操作系统、其他字段)的优先级,如下图所示
此时的资产类型属于组织资产台账的一部分。
资产的信息准确性在发生安全事件溯源阶段可以提供有力的资产基础信息,甚至可以实现快速定位到人、定位到业务的效果,建议有流程的有固定频率的进行或者通过威胁触发执行,以保障资产台账的属性信息准确性。根据深信服的安全运营经验,建议在资产更新阶段可以将组织资产更新流程进行电子化,并资产管理组进行执行。
详细该部分补充图见下图所示:
资产入库为了解决将符合管理条件的资产纳管进资产台账,那资产退库就是将不需要管理的资产从资产台账中剔除,以保证现有资产台账的准确性,防止出现资产膨胀等现象。
需要进行资产退库常见的场景有DHCP场景、访客WI-FI接入、资产没有达到安全基线、某些运维行为导致的资产属性变更,如agent卸载以及业务上线、下线等场景,此时需要将资产进行退库,以保证资产台账的准确性。
XDR退库条件同样支持灵活的策略入库以及手动退库,详细的退库规则可以选择agent状态、资产组、数据源以及责任人等信息。此时的资产类型属于满足退库条件之后进入历史资产列表。
下图展示的是XDR内置的退库规则。
根据上面的描述可以感受到资产退库同样不是一次性的工作,建议是有流程的有固定频率的进行,以防止资产进行膨胀,于是需要对应的组织设计对应的流程保质保量地完成该部分的工作。根据深信服的安全运营经验,建议在资产识别阶段可以将组织资产退库流程进行电子化,并安全监控组进行跟资产管理组协同执行。
详细该部分补充图见下图所示:
最后我们将整个资产旅程图填充成以下样子,在资产安全旅程中将人+流程+工具进行结合,实现1+1+1>3的效果。
在该章节中,我们介绍如何使用XDR的资产管理功能结合资产全生命周期进行资产安全运营,介绍了不同资产生命周期情况下的高频功能以及用法。同时我们还提供了针对特定场景下资产运营的最佳实践,详细请查看资产场景化案例章节;详细的功能说明以及介绍,请查看用户手册中资产管理章节。
建议使用Chrome浏览器访问!