最近跑了一些客户和朋友,有监管单位,有大型央国企,有互联网企业,整体感受是关于企业的IT资产管理大家慢慢有了共识:很重要,但管不好。
前两天,有一个新闻在朋友圈疯狂刷屏,就是中国人民解放军成立了网络空间部队,来“筑牢国家网络边防,及时发现和抵御网络入侵,捍卫国家网络主权和信息安全”。既然是网络边防,就必然是国家主权问题了。只是,这种边防比物理世界稍微复杂一些,比如之前国内某大型企业在国外的资产被黑被勒索,这个边防的边界到底伸到哪里,现在文明世界并没有一个定论。
边界是要测绘的,测绘完是要保护的,这是正常流程。很多技术都是从美国开始的创新,所以不管是计算机、芯片、互联网、漏洞库、大模型,连网络安全部队都是。因为我们早期并不知道一个新的领域应该怎么玩,等我们反应过来的时候,就有一段时间的差距。早期我国连漏洞库都没有,一看CVE平台,好家伙,还能这么玩,于是我们有了CNNVD,再后来有了CNVD。斯诺登事件后,我们才真正反应过来,国防这事,不拉上网络空间是不太对的。
十年前我做过漏洞平台,每天的漏洞都审核不过来,我很清楚,在一个海量资产的网络空间里要找到漏洞不是一件难的事情。无论是一个学生还是一个网络安全爱好者,随便拿几个自动化的网络安全工具,就可以找一堆可以攻击的漏洞资产。
上一篇文章,有网友评论问我说,一个小企业怎么会有高级别黑客来进行攻击呢?这有两个逻辑:一个是你拥有的数据价值比你自己认为的要重要;另一个是把你的网络资产当做跳板来做下一步攻击,隐藏自己的真实身份。这些事情在公开的网络安全技术报告里面比比皆是,打打ddos或者做个勒索攻击实属小儿科。
另一个角度,大家看看被网络攻击勒索的新闻,看看有多少大型企业或者重要企业,就能明白,好像那些看似大型集团本应该很安全的企业,好像也没那么坚不可摧。每一次的攻防演习都会让大家更加认清现实:漏洞总是会有的,不管你做了多少努力。
该死的漏洞永远修不完,企业和监管不胜其烦,你进了热带雨林,来了一堆牛虻绕着你飞,时不时叮一口,也不至于死掉,可足以把你的心态搞崩溃。你不知道里面是不是混有带毒的其他生物,任何一个裸露的地方都可能被盯上。
这种情况是针对网络空间上的所有资产,没有一个IP是安全的,尤其是暴露在互联网上的资产,就在那放着啥也没干,几年后还没被成功攻击的不多。
随着一些事件的发生,大家也慢慢理解了攻击面管理的重要性。认识是一回事,投入是另一回事。企业觉得每年花十万块钱梳理暴露面是一个不划算的事情,而想攻击你的对手却愿意花100万订阅你的互联网攻击面,他们可能比企业更了解企业的攻击面。换位思考也能理解,企业要在业务上投入,企业活不了,即便安全了又如何呢?
我跑到我们公司的网络运维部门的负责人面前,问他“咱们公司有多少IP?”,他说“大约xxx个”,我问“我每多找出一个罚你1000,你愿意接受吗?”,他说“这个没法保证”。结果当然是禁不起查和对比,每一次都会发现新的资产,每一次都会有新的理由,什么漏掉了,什么某某自己临时开的,什么这个在某运营人员个人的文档里有记录,没有汇总过来……我不禁思考:我们这样一家网络安全公司,资产不算多,尤其是我们还是做网络资产梳理的,fobrain/foradar/foeye全套解决方案,想要一个全面的IP资产为什么还这么难?
网络安全这件事必须是自上而下的,资产梳理也必须是自上而下的。领导不发话不考核,下面的同事们就不会真正地去考虑这件事情,并不是能力有多差或者有多偷懒,纯粹由于“做了也没绩效”。至于资源浪费或者说网络安全事故,那不是一个部门或者一个个人去考虑的问题,因为“只要你没说,我就不去做,多做多错”。人之常情的事情,你也很难去多加责怪了。当我说“少一个IP罚1000的时候”,我还得在前面加一个“假如”,生怕大家形成“老板又开始pua我了”的认知。
我们是一个民营企业,这事要放到国营企业,难度估计又陡增了数倍。企业部门众多,资产台账分开在不同部门,很多资源需要协调,出罚款制度是要担责任的,万一下面同事不理解和支持,“罚都有你,奖怎么从没见你提过”,解释啊汇报啊又是一地鸡毛的事情。网络安全这种没出事之前是不能嘚瑟的,所以奖确实很难获得认可,只有打别人,那个好排名,所以甲方的攻击队就越来越多,能力越来越强,大有赶超各乙方安全公司的势头。内部团队还在拉扯阶段,资产总也没有一个完整的且很有信心的全表。有的部门有cmdb,有的部门有流量,有的部门有负载均衡配置,相互不打通,出了事故一评理,谁也怪不了,领导一肚子火和委屈,这种问题批评一下可以,开除谁难度挺大,一个局长未必就能让一个处长听话,更何况其他。
很多事故聊到最后都是故事,你以为是一个技术问题,越往后越觉得,这压根也就不是技术能解决的问题啊?但凡网络安全做得好的,攻击面梳理比较好的,那还真是一把手工程,领导先和蔼可亲地说,兄弟们好好干,没出事大家年年提拔,吃香的喝辣的,出了事“兄弟,借你项上人头一用”。这种好领导有不少,但是比例太低,领导不这么说,兄弟们就不要意思开口要预算,缺少安全方面的预算,累死也守不住。
我们把foeye设备放到企业内网,发现一些不在台账的供应链和漏洞;我们把fobrain运行,发现一些不知道的互联网暴露面;我们把fobrain接上foeye、foradar、流量、终端、cmdb,融合后构建了一个全面的ip资产库,总能找出一堆不在cmdb登记的资产。客户说“效果挺好,但是我们今年没预算”。
企业攻击面跟大家有没有预算没有直接关系,有没有预算它们都在那里,每天都在变化,每天都在被大量的黑客盯着,每次又“刚好”被人钻了空子。随着事故的越来越多,监管单位坐不住了,这些企业就这么玩下去怕是把自己玩没了,顺带把属地管理部门的权威性也玩没了,还得管。
一个城市里面,党政机关、国央企、关键信息基础设施、上市公司很多,包括那些民营企业,光写名称都手酸,要把这些企业的所有互联网暴露面进行梳理,靠人工无论如何都是无法解决全面性和实时性的要求。不列又不行,惦记这些企业单位的贼太多,在人家过来搬家之前,咱们形成全面的底账,形成预警,尽可能的减少损失。这时候感觉“幅员辽阔,百花齐放”的背后,偶尔也是一种压力,责任重大。
我很理解不了一个企业的资产梳理到今天还没融合扫描和流量以及cmdb等资产数据源;我也理解不了一个地方的监管单位不结合供应链刻画和企业刻画以及运营商资源做风险预警。我认为这些都是一种底线,这是技术可以解决的问题,部署了就有了很大程度上的看得见的能力。领导看着我摇了摇头,说资源打不通啊。
资产信息可以按最小字段来约定打通,只要咱们想要画好一张全面准确的地图,这些数据就必须要打通。难道真的靠手动登记上报吗?回想在那个没有计算机网络的时代,低效率是拖累一个国家经济发展的重要因素,同样,资产数据不打通,各自为政,是制约网络安全底座的绊脚石。而这个绊脚石,不是一个技术人员可以踢开的,必须是自上而下,严格的考核要求,并且贯彻落实,才可能消灭的。
希望未来,无论是监管还是企业,都是从顶层开始设计规划网络安全。漏洞和资产这两件事,有技术上的理论最优解,组织策略上不配合就无法落地。我看到一种场景是这样的:网络运维部门的同事们知道自己不知道有多少IP资产,也知道上了一些技术手段和产品能很大程度上发现和补充企业台账的不足,甚至也有预算,但是发现了更多问题就是好吗?
网络安全是一种必须需要上层支持的一项工作。领导说好就是好,领导说不好就是不好;领导说好又安排了更多做不完的活也叫不好。让领导说有价值愿意支持,是职场生存的基本规则。这么一来也就能理解为什么交付要有大屏,报告一定要好看,为什么硬件比软件好,为什么招标文件越厚越好,因为这代表了可能更好地跟领导汇报,更容易让领导认可和支持。
攻击面管理这件事我感觉在目前成为一把手工程的概率有点低,如果真是一把手工程,那就要有充分的预算,独立的岗位编制。但这是保障网络安全的基础中的基础,是必经之路。我们做好技术,等待各位领导召唤。
原文始发于微信公众号(赵武的自留地):该死的攻击面管理
