前 言

　　随着货拉拉业务的扩大，在数字化过程中，信息安全部参考业界资产测绘方案，围绕资产的点线面构造资产空间地图，建立信息安全资产库，助力安全体系建设。本文主要包括三方面内容，一是资产建设背景和需求场景，二是详细的资产测绘方案，三是安全资产的部分效果。安全资产是信息安全建设的基础，全面摸清家底是安全同学的梦想，本文分享安全资产库的实践经验，以供参考，希望对大家有所帮助。

　　一、建设背景

　　1.1 资产痛点

　　随着移动互联网和云原生的快速发展，企业在数字化建设过程中，资产会成倍数级甚至成指数级增加。由于各部门的管理需求不同，各自管理的资产都是相对独立的，安全运营在使用过程中面临以下痛点：

　　1）资产不清、不全、不准

　　资产不清不全（影子资产、僵尸资产等）、资产不准（无owner、关键属性不对等）等痛点问题导致安全防护覆盖不足是行业的“共性顽疾”。

　　2）资产粒度不足

　　像办公网的IT资产管理 ITAM（IT Asset Management），生产网的CMDB资产配置管理，能较好支撑IT\运维的使用，但从安全视角来看，还需要服务、进程、端口、应用版本等关键信息支撑安全运营，缺少更细粒度的安全资产数据。

　　3）资产关联性低

　　资产之间是相对的孤立，如公网域名与主机，应用与数据库之间链路关系，同时缺少与业务、漏洞、风险等安全要素的关联能力。

　　基于上述痛点，我们期望能够掌握公司资产的全貌，实现资产的清晰可见，为信息安全建设和安全事件响应提供基石。

　　1.2 安全资产

　　从安全风险评估角度：

　　《GBT 20984-2007信息安全技术信息安全风险评估规范》中，对于资产的定义为“对组织有价值的信息或资源，是安全策略保护的对象”

　　《GBT 20984-2022信息安全技术信息安全风险评估规范》中，资产按层次划分为业务资产、系统资产、系统组件和单元资产，如图1所示。　　

图1 资产层次图

　　从黑客攻击者角度：

　　安全资产是指网络空间中机构或企业所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产。

　　为此希望站在安全防御和攻击者的视角对公司资产全面盘点，建立公司的信息安全资产库，摸清家底，实现安全资产的全方位测绘，绘制资产空间地图。

　　1.3 资产需求场景

　　在建设安全资产前，汇总收集了内部各团队日常工作中一些资产使用场景。

　　1）安全运营场景

　　输出生产网对外暴露的公网域名、IP等，用于收敛风险暴露面，并检查waf、sso等接入覆盖情况

　　输出生产网服务器资产召回（nids流量的ip、内部ip扫描、k8s云审计容器ip等召回）和新增资产ip变化情况，用于支持检查各安全agent安装覆盖情况

　　2）安全应急场景

　　在应急时快速查询资产的服务号或可视化的资产平台

　　在爆发漏洞场景（软件、组件等），能快速排查受影响面资产

　　3）安全评估&审查场景

　　输出某业务线的全链路资产（信息资产、数据资产等），支撑业务线维度的安全风险评估、安全合规审查等

　　4）办公运营场景

　　输出办公pc终端资产（各办公职场、大区等），召回遗漏终端

　　输出终端pc软件资产（应急漏洞、盗版软件等）场景

　　综合评估：参考当前安全建设阶段，有比较多的自研安全单品能力，可以作为探针提供资产收集能力；另外IT的ITAM和运维的CMDB相对建设成熟，综合评估后可以内部立项推动安全资产库的建设。

　　二、资产测绘方案

　　2.1 测绘思路

　　我们的思路围绕构造资产点线面：

　　点（服务器、终端等）-->线（链路上下游等）-->面（业务等）-->资产空间地图。

　　借鉴行业的名词，通过测绘两个字为建设核心，希望像地图勘测一样，对公司的资产全方位勘测。

　　1）测--探测

　　代表资产的探测发现能力，实现资产探测的广度，多方收集资产的点。

　　通过多个资产抓手发现与召回公司多维度资产(不限于域名、ip、appid等，还包括公众号、小程序等）

　　2）绘--绘制

　　代表资产的绘制关联能力，实现资产绘制的深度，建立资产的多维度关联关系，串联资产的线或面。

　　绘制资产的关联下钻能力，从请求链路中关联内部服务、应用、db等

　　关联资产的安全风险画像，关联资产的漏洞、安全防护覆盖等情况

　　2.2 测绘总方案

　　整个资产测绘方案自底向上分为4层，资产抓手（内外部）--->资产探测（聚合、召回、富化）--->资产绘制联动(打标签、串联）---> 资产应用服务，如图2所示。　　

图2 资产测绘方案

　　2.3 资产探测模块

　　以互联网边界：从内网+ 公网两个角度（内外）探测资产

　　内网探测模块

　　融合公司资产元表数据 + 安全探测（自研Agent采集、IDS发现、自动化扫描、自动化爬取资产等多种机制）互相召回，汇总成内网资产。通过T+1天（部分T+10分钟）同步资产元表数据，与安全探测资产召回，富化、串联组织成安全运营期望的细粒度资产，如图3所示。　　

图3 内网资产探测方案

　　公网探测模块

　　从公网各类数据源探测公司关键字的多维度资产（不限于域名、公网ip等），如图4所示。　　

图4 公网资产探测方案

　　2.4 资产绘制模块

　　参考生产网常见部署方式（如图5），从请求链路的南北向 + 东西向两个角度绘制资产的线(关联）能力。　　

图5 生产网常见部署

　　应用级链路

　　通过https探测公网域名（南北向）资产的请求链路，对返回的响应头内容识别是否接入各链路节点（高防、WAF、kong、slb等），再关联slb的ecs 主机信息，串联主机agent细粒度进程级数据，绘制出完整资产的应用级链路。　　

　　敏感资产链路

　　结合db数据资产的分类分级结果，针对敏感的数据库表，通过运维团队的trace监控链路信息，生成敏感资产的服务请求链路， 再关联出口的敏感api识别，交叉召回。　　

　　2.5 资产可视化方案

　　参考我们之前在货拉拉src文章《图数据库在主机安全的应用探索》， 资产多维度属性和关联链路生成资产图谱，非常适合用图数据库呈现，能够更加清晰地展现业务全链路资产，如图6所示可视化的期望效果。　　

图6 资产可视化效果

　　三、安全资产效果

　　3.1 资产台账

　　按照测绘总方案的思路，逐步迭代实现统一的资产测绘能力，建立公司资产台账。整合4项 资产元表（CMDB、IT资产、RDS库、OSS库）、多项安全资产探测（HIDS主机安全、NIDS、终端EDR、云防火墙、安全扫描、公网爬虫等）互相召回，并反补CMDB、IT，推动资产的纠正流程或机制，并同时逐步提供资产的服务化，安全资产数据能力对外输出。

　　3.2 资产探测结果

　　在融合多源资产后，在资产运营过程中，我们主要对每项细粒度资产通过量化指标的方式检查资产的安全风险，下面介绍一些我们在实际中资产的运营指标供参考。

　　重点资产完整性指标　　

　　通过资产完整性和关联性的指标，发现重点资产的不清、不准的问题，推动与配合运维团队对元数据治理，逐步得出更准确的资产

　　公网域名指标　　

　　在运营过程发现做好收敛风险暴露面，推动治理无主或下线掉风险资产

　　Case: 清理非公司的公网ip

　　139.159.xx.yy、47.106.xx.yy

　　Case: 推动无归属域名、废弃域名治理下线

　　charge2.huolala.cn partnerportal.huolala.cn

　　IP资产召回指标　　

　　通过对ip的多源召回指标（优先对网段、再对ip），发现资产不全的问题，补充安全防护

　　Case: 发现遗漏的服务器IP，补充安装主机安全agent

　　公网暴露面指标　　

　　通过对公网暴露的资产统计指标，与内部资产召回比较，发现公网遗漏资产和证书过期等安全风险。

　　3.3 资产绘制结果

　　应用链路

　　Case：查询某个服务器ip: 172.18.xx.xx，除资产基础信息外，同时也提供主机端口、资产链路拓扑等关联信息。　　

　　敏感数据链路

　　当前敏感资产的数据还未可视化，提取某个敏感数据表的一条链路供参考。　　

　　绘制可视化

　　借助图数据库的关联能力，建立资产关系图谱，我们实践了在公网暴露的部分资产的可视化，效果如图7所示。　　

图7 图数据库资产可视化

　　四、总结和思考

　　在信息安全防护体系中，资产是安全建设的基础，在互联网和云原生等技术快速发展下，资产测绘面临更高的要求和挑战。当前货拉拉信息安全团队按照资产测绘总方案，建设信息安全资产库，实现统一的资产测绘能力，覆盖信息资产、数据资产等多维度资产；同时提供资产服务给内部运营日常使用，正持续运营&迭代，完善更全&更准的资产空间地图。我们后续也会将逐步落地资产的服务化、可视化，将图数据库全面应用到各维度资产关联；也将围绕业务的全链路资产，实现对业务的自动化安全风险评估。