网络资产是构成信息系统软件、硬件、服务等资源的集合，是安全机制保护和安全管理的主体对象。作为安全领域中环境感知的一个重要组成部分，资产管理承担着各类安全对象数据的载体及整个生命周期管理过程。

在网络安全领域，一个能真正有效帮助客户实现资产安全管理的平台，需要具备哪些关键能力？

一、查得清：已知资产、未知资产管理

要做资产管理，首先要完成对资产的发现、梳理工作。通过做IT规划，对于网络中已知资产可以先行通过各类方式直接纳入系统管理。对于已知资产用户往往更关注变更，推荐使用人工维护、Agent方式能够精确采集资产信息，其中Agent方式能够实时感知资产变化。而对于剩余未知资产管理，用户更关注资产发现，可通过主动发现对全网资产进行普查，通过被动发现“摸清”上线资产，利用情报广谱搜索互联网资产。

在不同的网络场景下，有如下几类成熟的资产采集技术手段可供选择：

主动扫描

Agent采集

被动发现

情报采集

第三方平台对接

人工录入

 1）主动扫描：通过主动扫描探针，对目标资产进行远程探测扫描的方式，获取其暴露资产相关信息。此类方案一般会搭配远程登陆一起使用，通过帐号、口令登录目标资产，执行命令并读取和解析命令运行的结果可以自动获取资产属性信息，此类方案适用于大多数网络场景。

2）Agent采集：通过Agent探针，在主机内部实时采集主机资产信息，此方案的实时性、准确性最高，需要依赖额外的Agent探针部署，一般建议选择部分已知资产重点部署。

3）被动发现：通过被动探针，如流量探针、日志探针、采集挖掘网络数据中的资产信息。流量分析方式一般作为一种补充技术手段对流量中关于资产的信息进行分析。

4）情报采集：情报在互联网资产的发现以及监控中发挥巨大作用，尤其适用于从互联网角度探测暴露面资产。

5）第三方平台对接：后续支持标准化接口，支持资产数据外发，支持其他第三方资产数据接入平台。

6）人工录入：支持离线文件导入，可事先定义好资产信息一次性导入，导入时支持灵活的策略选择，如覆盖、合并等，对于错误数据会实时检查给出提醒，方便用户快速完成资产库构建。

一般推荐以上各类资产发现手段的组合使用，能够更全面、更准确的发现各类网络场景的资产信息。

二、摸得透：资产管理生命周期持续管理

仅仅发现所有信息是不够的，怎么合理利用多源发现手段的结果信息？可考虑各来源数据的交叉验证，不同场景下可信度调优对多源数据做融合分析，从而得到更准确、全面的资产属性信息。

当然，任何持续性工作才有意义，通过全生命周期资产持续监控，结合对基线库的对比分析，识别资产变化，包括新增资产、变更资产、减少资产的识别，其中变更部分可感知资产端口变化、服务、应用变化等情况，因为对于企业来说变化资产也是最可能引入新风险的部分。需要重点识别关注针对不同管理阶段的资产纳入多种管理基线，动态衡量变更风险。

  

三、看得全：资产画像

资产分层管理

在攻防视角下，企业需要从不同层面考虑资产关注信息。

• 网络安全：网络设备、网络隔离和网络边界关系。

• 系统安全：系统资产、业务组件、APP框架、开发语言、备案。

• 数据安全：数据库、数据防护措施。

• 网络拓扑：横纵向网络访问关系。

这就提出需要支持不同层次、不同粒度的资产管理，如支持应用资产、主机资产、网段资产、资产组合等，包括不同类型资产之间的资产关系、资产拓扑感知管理。这样就可以用更立体多维的视角来感知网络资产。

多维资产安全画像

资产作为安全保护对象，除了资产自身发现外，还需要从威胁感知、脆弱性感知等维度来收集汇总资产各个维度的风险信息，包括但不限于：资产状态、合规信息、漏洞信息、弱口令信息、威胁信息、异常行为信息、异常属性信息等，使得对资产风险全貌有更全面的了解。

通过资产拓扑，感知威胁之间的横向移动和攻击渗透路径，最大程度上评估风险影响。

通过资产画像，可在新增威胁、情报、通报等情况下，快速定位受影响资产及资产归属，找到责任人，缩短事件响应时间。

  

资产风险量化分析

面对风险数据，怎么快速识别最需关注的资产呢？还是需要进行风险量化，结合各资产上不同维度的风险数据，从威胁、脆弱性、资产风险三要素，计算单资产风险。在面向不同的运维需求，逐级量化评估单资产到业务域、网络域、整系统的风险，抓住安全风险的最薄弱环节，以指导后续运营工作进行。

 

四、管得了：资产运维处置

通过上述全面资产画像及风险量化分析，可快速识别薄弱资产，进行重点安全加固及处置。对于资产画像覆盖的失陷资产事件、威胁事件、资产漏洞、异常资产事件等都应该提供便捷的快速下钻查看详情能力。同时需要结合企业管理组织架构对应到系统灵活的分权分域管理，按照企业权限划分管理职责，将需要运维事件呈现给对应相关角色账号，进行进一步运维工作。

面对大量安全事件，各类复杂风险情况实际运维时需要提供丰富的运维手段，以指导运维工作顺利进行，包括但不限于下述方法：

1、通过威胁研判、漏洞优先级分析、漏洞验证等高级分析能力充分对风险信息进行确认取证。

2、通过工单流转系统，按需进行相关安全通报下发，不断推进响应修复工作进行。

3、通过和各类安全设备联动，结合一键响应能力，攻击源头一键秒封，提升客户安全运营整体效率，缩短运维响应时间。

4、通过SOAR自动化编排，将人、安全技术、流程进行深度融合。通过Playbook剧本串并联构建安全事件处置的工作流，自动化触发不同安全设备执行响应动作。基于对安全事件上下文有更全面、端到端的理解，有助于将复杂的事件响应过程和任务转换为一致、可重复、可度量和有效的工作流，变被动应急响应为自动化持续响应。

五、总结

整体方案以资产视角为切入点，结合丰富有效的资产发现手段，全面、准确的识别用户网络资产信息，通过持续监控稽查比对分析，识别资产变化情况，不断完善企业资产管理基线。同时通过以资产为对象的风险数据汇聚，全面、立体描绘资产安全画像，对企业风险做到一目了然，结合一键响应、工单管理、SAOR编排等完成对安全事件的有效闭环。