终端资产的全面发现管理
April 13, 2022 -终端资产的全面清理发现和管理是精细化管理也是安全办公生产的前提,
困难之处在于设备类型复杂(固定、移动、网络设备、摄像头、打印机等),
人员角色多变赋予设备自身权限及可见度变化,
最后长时间使用,设备和人员的更替,再时间上追溯困难。
问题重点表现在
主流资产发现及管理系统,使用的技术,主动扫描和被动流量发现各自都有缺陷
- 主动扫描发现不了未开机和休眠资产设备
- 被动流量分析发现不了数据未经过核心交换机的设备(因为被动流量分析的服务设备接在核心交换机上,见下图)
- 被动流量分析发现不了分析前接入的设备
- 设备资产间的在时间上的关系无法确定,也就不能评估出安全风险
常用技术名词概念
- 终端资产:用户单位的电脑。在安全业务上,用于对安全问题的物理定位,及时找到机器和操作人员
- ARP地址解析协议:根据IP地址获取物理mac地址的协议
- ARP表:交换机中IP与MAC地址对应关系缓存表
- SNMP OIDS:交换机和路由器中缓存的设备信息表
- NetFlow表:交换机和路由器中缓存的设备外联流量信息
- DHCP服务:动态分配IP地址给刚入网的设备,保留了所有入网设备的信息。每台设备使用的IP过期后,再定期续租申请。
- DNS服务:将域名解析为可以访问的IP,保留了终端设备的请求网络信息
- 网络设备:交换机和路由器。其存有ARP表、路由表、SNMP OIDS信息,NetFlow表
- 服务设备:DHCP服务和DNS服务等,其存有设备的网络和机器信息
- 终端设备:电脑的设备制造商、操作系厂商、常用软件和使用时间上的规律
- 主动扫描:轮询全网每一台终端,发起预制的网络请求,根据收到的响应判断终端的设备信息
- 被动流量分析:镜像连接在核心交换机上,根据网络所有设备的流量信息,分析访问关系和部分设备信息
全面发现管理的工作流程
发现
基于3种设备(网络设备、服务设备、终端设备)和2种行为(主动、被动)获取设备机器信息和网络连通信息。 尤其是发生的时间和外联关系。持续监控设备的连接断开,获取实时信息而不中断业务。
通过网络设备信息,整合主动与被动发现信息
通过服务信息,整合流量与设备信息
其特点是
- 发现未开机和休眠资产设备
- 发现网络流量未经过核心交换机的设备
- 发现分析前接入的设备
| 2种行为\3种设备 | 网络设备 | 服务设备 | 终端设备 |
|---|---|---|---|
| 主动扫描和获取(范围大,信息多) | 设备外联时间和位置 | 设备的网络和机器信息 | 运行在设备的代理(如杀毒软件) |
| 获取全面的机器信息,可选择不使用,不影响用户业务 | 被动监控(实时性高) | 全网流量信息 | 设备的连接和断开 |
发现原理:
- 主动获取网络设备和服务设备中存在的IP设备及流量信息,并整合两者信息,全时间段的信息
- 被动获取全网流量信息,当前时间段的信息
- 比较找出存在于主动信息#1中而不存在于被动信息#2中的设备
- 分析这些设备流量的发生时间
- 判断发生时间暂时的,只是最近没有出现,是未开机和休眠
- 判断发生时间是曾经有过,现在一直没有出现,是以前接入,现在可能已不存在
分类
按照设备类型、操作系统、时间分类,并在时间上聚合不同设备间的网络访问关系,丰富上下文
评估
- 识别安全风险,评估合规达标程度
- 最终获得对网络操作风险的态势感知,使用全面的上下文评估策略遵从性和设备安全姿态
总结其特点
- 更全面地发现资产
- 发现未开机和休眠资产设备
- 网络流量未经过核心交换机的设备
- 发现分析前接入的设备
- 更易于分类,基于空间和时间的上下文
- 更准确地评估合规的达标度,识别安全风险
- 不中断不影响用户业务