作者简介:刘志诚,乐信集团信息安全中心总监、OWASP广东区域负责人、网安加社区特聘专家。专注于企业数字化过程中网络空间安全风险治理,对大数据、人工智能、区块链等新技术在金融风险治理领域的应用,以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。
一、背景
2021年在普遍关注威胁暴露面管理的时期,开始进行暴露资产的威胁风险的治理和评价,在和几个厂商交流方案,并且进行POC测试后,发现和梳理了相关风险,从互联网企业的维度而言,自外向内的资产扫描和情报,对发现游离于内部资产管理之外,暴露在互联网之上的暗资产和隐形资产具备一定的价值,对于以边界安全为第一道防线的安全团队而言,已知资产的安全增强防护价值有限。当然,这催生了另外一个安全需求,对伪造和仿冒资产的阻断和处置衍生的品牌保护需求,产生了新的赛道。
在这个过程中,反而促使我反思安全目标下的资产管理应该管什么、怎么管,与财务维度的资产管理,运维角度的资产管理,甚至业务角度的资产管理,有什么区别,不同目标和诉求的资产管理平台之间的关系和分界线如何,相应的数字化系统如何分工与建设,反而更需要去思考和探索。
我从安全的角度,关注的是数字资产安全管理数据的准确性、丰富性、可用性,也是在这个阶段开始和一些厂商共同探索,从数字资产的角度统筹安全的管理。经过2年的探索,思路不断清晰,路径不断明确,可以做一些归纳总结与分享。
二、 管什么
财务属性的资产管理,管理的是资产的产生、变更、销毁的生命周期可操作财务属性,关注价值的评估、赋予、变更过程,从物理实体资产到虚拟化数字资产,也有相应的演进过程,以比特币为例,在美国放宽比特币交易基金的背景下,比特币已经超越白银,成为第六大资产种类。而中国的数据资产入表,也赋予了数据财务角度资产的属性。
安全属性的资产和运维属性的资产密切相关,但我认为运维资产是安全属性资产的一个子集。运维资产管理是从运维管理角度关注资产的创建、变更、销毁的生命周期过程的相关属性的记录与变更过程,传统的静态的CMDB从异步的人工录入方式与运维人员的操作过程分离,与信息化时代普遍的作业过程、管理过程分离操作具有同样的弊端,为了管理而做的管理,除了增加了工作负担之外,价值有限,对运维作业无益之外,基于错误数据的假数据真分析对管理同样有害。当然,早期的弊端也在持续不断地改进与克服,基于扫描,接口以及作业系统的数据同步或者日志整合,也在修正优化CMDB为主的资产管理,动态资产管理,或与作业系统同步的资产管理,甚至是作业与资产管理一体化的系统,有效地解决了运维资产管理的传统问题与弊病。
运维在谷歌提出SRE的基础上逐渐被当作是基础设施弹性的基础单元,关注互联网或数字业务的敏捷模式和以云原生为基础的基础设施安全,工作的范围涉及基础设施的运维领域,管理和维护的资产涵盖了数字化安全的基础设施范围的资产。DevOps理念让开发与运维一体化的概念进一步普及,业务作业系统的数字化摆脱了管理信息系统的商业套件模式,软件开发成为企业数字化业务系统的核心竞争力,与开发过程相关的安全管理成为安全管理的核心任务,与自身代码、第三方组件、开源软件、配置相关的资产安全属性管理需要纳入安全资产管理的范畴,这部分有别于基础设施运维,属于业务运维的范畴,运维资产管理系统是否包含这一部分资产管理,不同组织架构可能具有不同分工,因人而异,大部分的运维资产管理中,并不包含一部分涉及DevSecOps以及软件供应链安全热点的数字资产的安全属性管理。
数字化三要素中的算力、算法、数据,其中算力无论从网络、服务器、终端以及承载的IDC、办公网基础设施的角度来看,其中软硬件基础设施的运维管理,安全管理的资产管理,无论是否分散,都有可能具有初步的管理能力,有缺失的部分,或做得不够完整的部分,可能是在公有云基础设施上,与公有云团队关于运维与安全的边界和责任划分不够明确,因为业务团队的独立性,对暗资产和影子资产的运维与安全管理,存在漏洞。
数据资产的安全管理还是一个比较模糊的概念,目前对数据安全的管理,还停留在把数据作为内容,关注数据安全主要关注承载数据容器的网络安全范畴,仍是从数据存储、传输、处理过程中的容器的脆弱性和威胁的角度进行控制措施的建设,形成了以数据安全为目的,网络信息安全为根本的安全治理观。这种认知与思维模式下的数据安全建设,只见树木,不见森林,一叶障目者众,从而导致了社会层面对数据安全的热度不减,产业层面的产品与项目建设层出不穷,数据泄漏和勒索事故层出不穷的热闹场面。我不止一次强调,用错误的方法,面对错误的目标,一定不会做出正确的结果。当财务维度的数据资产已经成为现实的背景下,数据安全尚未建立以数据资产安全管理为核心的安全方法论与体系,整个安全界确实值得反思。
当然,批评容易建设难,我对数据资产安全属性的管理,有一些浅见和观点,也一直和产业界的朋友沟通探讨,落实的可行性。数据资产的庞杂性决定抽象维度的复杂性,我目前主要针对数字安全自身数据维度进行数据资产安全管理方案的设计、试点与验证,希望通过安全应用这个能力去突破之外,还能实现数据资产安全管理层面走出与众不同的路径,从这个维度而言,安全既是数据安全资产管理的需求者——我们需要通过数据安全资产管理治理数据安全,也是数据安全资产管理的应用者——我们做好安全也需要对安全数据进行数据安全资产管理。
算法安全这个是不是安全需要关注的范畴,可能存在争议,但算法的治理依然是一个绕不过去的热点,欧盟关于人工智能算法的可解释性,以及算法可能引起的歧视、对社会的影响等一系列问题,提出了算法的备案、合规检测以及监管的诉求,伴随大语言模型对智能化和自动化领域的决策和执行的影响,算法对物理世界的侵入模糊了现实与虚拟社会的边界,安全风险从Security 到Safety,这个过程虽然未必都是现有安全团队关注的领域或职责范围,但从技术风险治理的维度来看,安全团队也需要未雨绸缪,更多地关注算法作为资产对企业的风险,安全团队的边界扩大还是拆分,对安全而言,都是需要关注的话题。
三、 怎么管
先从一个朋友经历的故事说起,朋友所在一家高成长性的互联网公司,业务具有高度动态灵活性,产品从需求到上线,从运营到下线,周期以月度进行,公司具有DevOps的敏捷性,具备云原生的基础设施,公司也具有流程管理的信息化系统,但从安全角度依然发现了不少问题,例如,只有上线管理,没有下线管理,下线只下线了域名,没有下线服务器和存储资源,微服务具有API的注册,管理机制,微服务API的变更和下线,对于存在哪些依赖方,和依赖方是否同步变更下线,没有通知和确认机制。
从资产管理的角度而言,可以看到我们从业务的角度会有资产管理的信息化系统能力支撑,但这个管理能力可能只有建设,没有运营,有一个业务需求,可能促生建设了一个能力管理的系统,但这个系统建设完成,对需求方完成赋能后,需求方如何应用系统进行资产的生命周期管理,这个管理过程如何监管,如何审计,如何与其他流程和系统进行关联和连接,缺少运营、管理与治理。我不知道这是不是一个普遍现象,但从数字资产安全管理的维度来看,缺失了一种数字安全管理的约束机制。
因此,我的第一个观点,并不是要建设一个统一的以安全属性为中心的数字资产安全管理平台,而是以数字资产安全管理理念为中心的对数字资产管理的约束机制,当建设任何一个数字资产的管理平台时,需要关注所管理数字资产的安全属性,并提供安全属性数据的访问接口。例如,我们管理第三方BOM软件资产库的时候,无论你是选择nexus还是其他开源方案,你需要关注第三方组件的引入,应用,消除,变更的审批,记录,和检测验证机制,对于任何的变更引起的属性变化,同步到安全管理平台,为检测,响应与溯源提供基础。同样,管理代码的GIT,管理数据的关系数据库和湖仓,管理容器的K8s等等,同样需要关注数字资产安全属性变更的数据同步。
数字资产安全管理从安全管理的视角来看,可以关注几个维度:
一个是脆弱性(漏洞)的维度,当我需要关注脆弱性对企业的影响时,我可以从数字资产的维度关注脆弱性对企业的影响范围,例如,当Fastjson的反序列化漏洞出现时,我可以关注到哪些服务器存在相应的漏洞,这自然是大部分资产安全管理系统具备的能力,但如何以可视化的方式而不是列表的维度,以网络拓扑的角度呈现出来,更可以直观感知威胁的范围和严重程度。
另一个是资产的维度,我可以关注到某个资产上存在的脆弱性和漏洞的情况,我可以感知相应的漏洞或脆弱性在这个资产上对全局的影响程度如何,以及应对措施和方案如何进行优化与调整,可以实现资产脆弱性和漏洞的个性化评估与处置。
三是从业务的维度关注资产和脆弱性的情况,我们一直倡导业务负责人是安全的第一负责人,但如果业务负责人对自己的数字资产涉及的安全风险的具体状况,仅能从安全意识角度讨论,说服力有限,只有从业务角度看到业务维度数字资产安全的风险视图,才能直观,有理有据地关注业务对企业安全的整体影响,才能真正落实安全的责任。
三个维度的视图都是底层数据的维度建模和可视化呈现,所以,我的第二个数字资产安全管理的观点,是需要关注数据资产维度的数据能力统一建设,并通过维度建模实现数字资产安全管理的可视化视图呈现,支撑数字安全管理的管理应用。
四、 关系
在管什么,怎么管中,其实已经对财务维度,运维维度,安全维度的数字资产管理的关系进行了初步的分析和讨论,在这里再做一些明确。首先,资产管理本身是一种与作业属性相关的数据管理,是资产的数据化表达与呈现,是资产的作业属性的投影与呈现。因此,从作业维度的资产管理,管理的是作业属性,而资产安全管理关注的是资产作业属性变更,引起的资产脆弱性和漏洞,存在被恶意或过失利用的风险,因此任何资产可能引入新风险的作业属性的变更应纳入资产安全属性管理的范畴。可以说,作业资产管理的行为是资产安全管理的关键数据源。
数据源的准确性、完整性、及时性、系统性是数据资产安全管理的关键约束条件,任何作业系统资产管理系统的建设,需要考虑相应资产变更的流程和数据的质量问题,避免资产作业系统存在数据记录的错误、缺失、延时、单点问题所引起的资产管理数据问题。资产安全管理的需求是资产作业管理系统的约束条件。
数字化谈了这么多年,逐渐进入深水区,数字化安全也需要同步进行探索和创新,数字资产安全管理作为数字化安全的基础设施,在数字化转型和数字化建设阶段,作为核心工程考虑,想必会事半功倍,当然,这需要整个产业,甚至行业达成共识,任重而道远,大家勠力同行。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
