文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

货拉拉信息安全资产库建设实践

码农的梦想

码农的梦想

2024-05-17 15:40

关注

前言

随着货拉拉业务的扩大,在数字化过程中,信息安全部参考业界资产测绘方案,围绕资产的点线面构造资产空间地图,建立信息安全资产库,助力安全体系建设。本文主要包括三方面内容,一是资产建设背景和需求场景,二是详细的资产测绘方案,三是安全资产的部分效果。安全资产是信息安全建设的基础,全面摸清家底是安全同学的梦想,本文分享安全资产库的实践经验,以供参考,希望对大家有所帮助。

一、建设背景

1.1 资产痛点随着移动互联网和云原生的快速发展,企业在数字化建设过程中,资产会成倍数级甚至成指数级增加。由于各部门的管理需求不同,各自管理的资产都是相对独立的,安全运营在使用过程中面临以下痛点:

1)资产不清、不全、不准

资产不清不全(影子资产、僵尸资产等)、资产不准(无owner、关键属性不对等)等痛点问题导致安全防护覆盖不足是行业的“共性顽疾”。

2)资产粒度不足像办公网的IT资产管理 ITAM(IT Asset Management),生产网的CMDB资产配置管理,能较好支撑IT运维的使用,但从安全视角来看,还需要服务、进程、端口、应用版本等关键信息支撑安全运营,缺少更细粒度的安全资产数据。3)资产关联性低资产之间是相对的孤立,如公网域名与主机,应用与数据库之间链路关系,同时缺少与业务、漏洞、风险等安全要素的关联能力。基于上述痛点,我们期望能够掌握公司资产的全貌,实现资产的清晰可见,为信息安全建设和安全事件响应提供基石。

1.2 安全资产

从安全风险评估角度:《GBT 20984-2007信息安全技术信息安全风险评估规范》中,对于资产的定义为“对组织有价值的信息或资源,是安全策略保护的对象”《GBT 20984-2022信息安全技术信息安全风险评估规范》中,资产按层次划分为业务资产、系统资产、系统组件和单元资产,如图1所示。1715162354_663b4cf28bfe5f004c01c.png
从黑客攻击者角度:安全资产是指网络空间中机构或企业所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产。为此希望站在安全防御和攻击者的视角对公司资产全面盘点,建立公司的信息安全资产库,摸清家底,实现安全资产的全方位测绘,绘制资产空间地图。

1.3 资产需求场景

在建设安全资产前,汇总收集了内部各团队日常工作中一些资产使用场景。1)安全运营场景

2)安全应急场景

3)安全评估&审查场景

4)办公运营场景

综合评估:参考当前安全建设阶段,有比较多的自研安全单品能力,可以作为探针提供资产收集能力;另外IT的ITAM和运维的CMDB相对建设成熟,综合评估后可以内部立项推动安全资产库的建设。

二、资产测绘方案

2.1 测绘思路

我们的思路围绕构造资产点线面:点(服务器、终端等)-->线(链路上下游等)-->面(业务等)-->资产空间地图。借鉴行业的名词,通过测绘两个字为建设核心,希望像地图勘测一样,对公司的资产全方位勘测。1)测--探测代表资产的探测发现能力,实现资产探测的广度,多方收集资产的点。

2)绘--绘制代表资产的绘制关联能力,实现资产绘制的深度,建立资产的多维度关联关系,串联资产的线或面。

2.2 测绘总方案

整个资产测绘方案自底向上分为4层,资产抓手(内外部)--->资产探测(聚合、召回、富化)--->资产绘制联动(打标签、串联)---> 资产应用服务,如图2所示。1715162401_663b4d21f38de9b1a5e5c.png

2.3 资产探测模块

以互联网边界:从内网+ 公网两个角度(内外)探测资产

内网探测模块

融合公司资产元表数据 + 安全探测(自研Agent采集、IDS发现、自动化扫描、自动化爬取资产等多种机制)互相召回,汇总成内网资产。通过T+1天(部分T+10分钟)同步资产元表数据,与安全探测资产召回,富化、串联组织成安全运营期望的细粒度资产,如图3所示。1715162464_663b4d6060cf3cb093bb6.png公网探测模块从公网各类数据源探测公司关键字的多维度资产(不限于域名、公网ip等),如图4所示。1715162486_663b4d768b139ad6f81fb.png

2.4 资产绘制模块

参考生产网常见部署方式(如图5),从请求链路的南北向 + 东西向两个角度绘制资产的线(关联)能力。1715162515_663b4d937bce3df8a9118.png
应用级链路通过https探测公网域名(南北向)资产的请求链路,对返回的响应头内容识别是否接入各链路节点(高防、WAF、kong、slb等),再关联slb的ecs 主机信息,串联主机agent细粒度进程级数据,绘制出完整资产的应用级链路。1715162545_663b4db1edfcd025979b6.png

敏感资产链路

结合db数据资产的分类分级结果,针对敏感的数据库表,通过运维团队的trace监控链路信息,生成敏感资产的服务请求链路, 再关联出口的敏感api识别,交叉召回。1715162556_663b4dbc3a5b8d89b3810.png

2.5 资产可视化方案

参考我们之前在货拉拉src文章《图数据库在主机安全的应用探索》, 资产多维度属性和关联链路生成资产图谱,非常适合用图数据库呈现,能够更加清晰地展现业务全链路资产,如图6所示可视化的期望效果。1715162569_663b4dc9c592776834e7a.png

三、安全资产效果

按照测绘总方案的思路,逐步迭代实现统一的资产测绘能力,建立公司资产台账。整合4项 资产元表(CMDB、IT资产、RDS库、OSS库)、多项安全资产探测(HIDS主机安全、NIDS、终端EDR、云防火墙、安全扫描、公网爬虫等)互相召回,并反补CMDB、IT,推动资产的纠正流程或机制,并同时逐步提供资产的服务化,安全资产数据能力对外输出。

3.2 资产探测结果

在融合多源资产后,在资产运营过程中,我们主要对每项细粒度资产通过量化指标的方式检查资产的安全风险,下面介绍一些我们在实际中资产的运营指标供参考。

重点资产完整性指标

1715162594_663b4de22dbbe137c7c5b.png

通过资产完整性和关联性的指标,发现重点资产的不清、不准的问题,推动与配合运维团队对元数据治理,逐步得出更准确的资产

公网域名指标

1715162606_663b4deed40e9c2dbb10e.png

在运营过程发现做好收敛风险暴露面,推动治理无主或下线掉风险资产

Case: 清理非公司的公网ip

139.159.xx.yy、47.106.xx.yy

Case: 推动无归属域名、废弃域名治理下线

charge2.huolala.cn partnerportal.huolala.cn

IP资产召回指标

1715162620_663b4dfc79c2887603ba5.png

通过对ip的多源召回指标(优先对网段、再对ip),发现资产不全的问题,补充安全防护Case: 发现遗漏的服务器IP,补充安装主机安全agent

公网暴露面指标

1715162634_663b4e0a2b9f86d6088ef.png

通过对公网暴露的资产统计指标,与内部资产召回比较,发现公网遗漏资产和证书过期等安全风险。

3.3 资产绘制结果

应用链路

Case:查询某个服务器ip: 172.18.xx.xx,除资产基础信息外,同时也提供主机端口、资产链路拓扑等关联信息。1715162650_663b4e1a7409b177cd335.png

敏感数据链路

当前敏感资产的数据还未可视化,提取某个敏感数据表的一条链路供参考。1715162663_663b4e27eed1b33ba8955.png

绘制可视化

借助图数据库的关联能力,建立资产关系图谱,我们实践了在公网暴露的部分资产的可视化,效果如图7所示。1715162680_663b4e38cf1acc65c6edd.png四、总结和思考在信息安全防护体系中,资产是安全建设的基础,在互联网和云原生等技术快速发展下,资产测绘面临更高的要求和挑战。当前货拉拉信息安全团队按照资产测绘总方案,建设信息安全资产库,实现统一的资产测绘能力,覆盖信息资产、数据资产等多维度资产;同时提供资产服务给内部运营日常使用,正持续运营&迭代,完善更全&更准的资产空间地图。我们后续也会将逐步落地资产的服务化、可视化,将图数据库全面应用到各维度资产关联;也将围绕业务的全链路资产,实现对业务的自动化安全风险评估。
参考:

《GBT 20984-2007信息安全技术信息安全风险评估规范》

《GBT 20984-2022信息安全技术信息安全风险评估规范》

图数据库在主机安全的应用探索

https://mp.weixin.qq.com/s/-uBD2N91infBD4gD7P8m1g


1715163031_663b4f97e4ab1d7a3b98d.png

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-网络安全
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯