资产收集确实是实施过程中的一个难点。个人认为属于脏活累活,结合实践经验和体会总结几点。如有不妥还望指正。依赖现有资源。- 如果企业有统一的资产管理系统管理诸如主机,应用,IP地址等当然最好,不过如果还是EXCEL来管理的话也能做。个人在实践中碰到类似的问题,暨没有完善...
显示全部资产收集确实是实施过程中的一个难点。个人认为属于脏活累活,结合实践经验和体会总结几点。如有不妥还望指正。
- 依赖现有资源。- 如果企业有统一的资产管理系统管理诸如主机,应用,IP地址等当然最好,不过如果还是EXCEL来管理的话也能做。个人在实践中碰到类似的问题,暨没有完善的统一资产管理平台,目前还是拿EXCEL分散管理。实践中碰到的最主要的问题是没法碰到告警,通过几个EXCEL表格没法快速定位。对策是,我开发了一个在线工具,把那些包含资产信息的EXCEL表格放到程序中(并定期维护更新)。当需要查询某个资产信息的时候,只需要通过在线平台输入,程序可以自动检索各个EXCEL表格。
- 理清责任,放弃完美主义想法。 - 之前这个办法肯定无法解决资产信息过期,完整性不够强等问题。但是那些问题的根本在于企业资产管理完善程度甚至是IT成熟度。管理这些资产的主要责任方可能在INFRA或者应用团队。我觉得碰到实际的问题,可以作为需求方建议相关工具和流程的改进,但是提高资产管理水平应该不是做SOC和做安全的主要任务。我认为在人力有限的情况下,主要的精力还应该放在怎么最大程度上高效得利用现有的资源和平台来发现威胁和漏洞。
- 结合工具,加强自动化 -- 接上,怎么能做到最大程度高效得利用现有平台呢?当然是希望很多重复的简单的工作可以由工具替代。除了之前提到的检索工具,还可以结合自动扫描脚本来简单实现一个内网资产发现的功能。同时商业软件里有依赖于流量嗅探自动梳理资产信息的,但是实际使用下来个人觉得效果有限。(可能原因是相关算法比较固化,无法适应复杂的IT环境,而对于商业产品来说,这些普通用户深入调整配置)。
收起