資產治理成2019安全新寵,“知己”原比“知彼”更難!
【51CTO.com原創稿件】在2019年開年爆紅的古裝劇《知否知否,應是綠肥紅瘦》裡,有一幕劇情令人捧腹:在春宵一刻值千金的大婚當夜,顧廷燁和盛明蘭居然各自拿出自己繼承的家產和嫁妝,一張一張開始數地契,核實夫妻名下究竟有多少產業和財富。仔細想想,這處劇情頗有深意,因為只有明確地知道手裡有多少資產多少張底牌,才能“知己知彼”從“宅鬥”中勝出。而到了現實中,對於網路資產梳理和治理,終於也得到了足夠的重視,成為網路空間治理的基石。在2019年RSAC大會上,摘得今年RSAC2019創新沙盒大賽的冠軍Axonius,正是一家做網路安全資產管理平臺的公司。
當網路資產治理成為2019年全球安全圈“新寵”時,其實中國在網路資產管理領域已經有“先行者”了。日前,盛邦安全CEO權小文接受了記者的採訪,他對於網路資產治理的興起並不意外,在他看來,這意味著網路安全界終於開始務實起來,開始注重基礎工作了。
盛邦安全CEO權小文
資產不清 安全就是空中樓閣
盛邦安全對資產治理的關注還要追溯到2014年。當時通過對數百起攻擊事件的持續跟蹤和分析,盛邦安全發現,很多機構之所以出現安全隱患,原因就在於對自身的資產狀況不清晰。
他舉了一個例子,某家機構部署了很多安全產品和解決方案,不僅高度符合安全合規性要求,而且等保驗收都順利通過。然而令人費解的是,這家機構的網站頻頻遭受安全攻擊,網站動輒無法開啟。經過深入分析和查證後,盛邦安全的專家團隊發現,這家機構的網站防護級別很高,的確沒有漏洞,但是機構下屬有十幾家二級單位,很多子系統根本不在備案登記之內,也被排除在二級等保範圍外,因此安全性得不到保障,也給上屬機構的安全帶來了極大隱患。
正所謂“舉一反三,推一及百”,盛邦安全很快發現“資產管理存在疏漏”的現象其實在很多行業都普遍存在著,盛邦安全敏銳地捕捉到對於網路資產梳理和管理的價值,此後便從資產梳理開始,在資產治理領域進行了長期的探索與創新。
“如果資產不清,基礎不牢固,那麼安全就是空中樓閣。先摸清家底,做好資產梳理,再做安全才是真正有效的做法。”權小文所表達的觀點其實與Axonius的理念不謀而合,Axonius 的口號正是“You Can't Secure What You Can't See”。
工程化思維+技術實力=精準高效的資產安全治理解決方案
記者瞭解到,目前,業界對於網路空間的資產識別和管理大致上可以歸納為三種手段:其一是安裝代理(Agent),本次獲獎的Axonius採用的就是這種模式,它的優點在於獲取的資訊多,能實時感受變化,缺點是Agent部署有限,場景有限;其二是流量分析,即通過流量分析獲取網路資產情況。這種模式的優點是對系統無感,能支援更大規模的部署,而缺點在於流量採集點限制了資產識別的準確性和完整性;其三是主動探測,即髮指定探測包,通過回包確認指紋識別資產屬性,這是當前普遍採用的辦法,比如shodan等。
盛邦安全所採取的手段是第二種與第三種結合,即主動探測和被動流量分析相結合的方式。2015年,盛邦安全釋出了Web資產治理平臺系統(RayGate),並在之後的幾年內,不斷升級、精心打磨該款產品。2017年,盛邦安全開發了大規模網路資產探測系統(RaySpace),專注方向開始從Web安全延伸到資料資產治理的領域。目前,盛邦安全具備了主動與被動資產探測能力以及一整套資產安全治理解決方案。
在長期與客戶的溝通和切磋中,盛邦安全也琢磨出一套方法論——基於“安全有道,治理先行”的資料資產安全治理核心理念,打造“資產摸底-備案管理-立體化防禦(等級保護)-自動化安全運營-應急處置”的“五步法”資產安全治理解決方案,覆蓋客戶資料資產全生命週期。
“方法論聽起來容易,事實上落地還會遇到各種各樣的難題和挑戰。”在權小文看來,最難的就是用工程化的思維來打磨解決方案。客戶的需求非常簡單,找到所有未知的有疏漏的網路資產,這個東西說易行難,難就難在當網路資產的數量上規模之後,如何利用大資料技術、AI識別技術快速精準地從網路空間35億IP地址中挖掘出有關聯的隱藏資產。“要想速度快,就必須用工程化的產品,提供工程化的能力。要想準,就需要考驗大資料分析能力,和AI智慧分析能力。技術實力和工程化思維,二者缺一不可。”
對“一窩蜂追熱點”樂見其成?
記者顧慮的是,既然資產梳理和管理成為2019年大熱門,那麼安全業界會不會跟風而上,進入“產品同質化,競爭低價化”的怪圈呢?對此權小文的態度非常坦然,或者說他更樂見其成。
他表示,如果真的出現眾人一窩蜂上馬資產治理的現象,那麼說明網路安全業界開始真正從做實事出發了,這其實算一件好事。對於競爭他並不擔心,因為資產治理的範圍非常大,可以孵化出很多不同方向、不同型別的安全解決方法,比如和業務關聯的資產治理、和大資料分析有關的資產治理等等。市場之大完全可容納足夠差異化的競爭和發展。
當然,更重要的是,盛邦安全已經率先進入這個領域。通過這些年的實踐,也摸索出很多工程化產品經驗和自主研發經驗,包括從頭開始寫引擎,如何做深度檢測和快速普查,確保結果的準確性和高效性,這顯然也不是通過開源軟體做一個樣本和模型就可以追趕上的。
目前,盛邦安全資料資產安全治理運營平臺已經在國內多個行業落地開花。權小文告訴記者,全國985/211高校中有100多家在使用盛邦安全這套解決方案,清華大學、浙江大學、復旦大學為代表的超過1/3的雙一流高校客戶對盛邦安全非常認可。在國家網際網路應急中心、國家電網、中共中央黨校、北京市教委等行業客戶系統中也能看到盛邦安全的身影。記者相信,未來行業客戶對網路資產“知根知底”的需求將越來越旺盛,一場追求“可知、可控、可管”的安全務實運動正在浩蕩展開。
【51CTO原創稿件,合作站點轉載請註明原文作者和出處為51CTO.com】
【責任編輯:周雪 TEL:(010)68476606】