前言

現在的網絡環境，威脅跟隱患越來越多，不是今天哪個框架又有遠程代碼執行漏洞了?明天哪個外網服務器又開放新的高危端口了?哪個系統又被黑了?如此頻繁的應急事件出現，趕緊手忙腳亂的找系統負責人，找了大半天沒找到，心急如焚，這時候就想著，要是有一份詳細準確的資產管理表就好了，那樣該省多少事，聽說CMDB建設都一兩年了，沒看到影子，等到CMDB上線，估計黃花菜都涼了，好吧，求人不如求己，還是自己動手得了。

一、目的

我們做資產管理都是從需求出發，因此資產管理的目的就以下兩點：

• 事中的入侵檢測
• 事后的審計與事件排查

二、資產整理

既然準備做資產管理，那第一步肯定需要目前企業資產的詳細情況，因此我們可以從以下幾個方面開始準備：

• 梳理資產類型;
• 與各類資產對接人，確認所需字段，統一各類資產表;
• 收集已有資產數據;
• 錄入資產管理系統;
• 確認各類資產變更流程;
• 優化變更流程，實現自動化變更資產，保持資產實時更新。

1. 資產類型

目前我們主要對這幾類資產進行管理，包括IP網段、域名、內網服務器資產、外網服務器資產、應用系統資產、終端資產，每類資產都可以從字段內容確認、數據來源、更新機制、后期優化幾個方面考慮。

2. 資產字段

3. 資產的來源

每一種資產在公司的內部流程中都會有專門的人員管理，那我們可以與對應的負責人溝通，采用統一的資產管理系統，確認更新機制，這樣才能保證資產能實時更新，例如，我們將資產管理系統中新建域名的頁面嵌入域名申請流程中，那樣當有人員申請域名時，必須填寫對應的信息后，流程才能通過，這可以要求域名管理人進行控制與審核，域名下線也可以一樣進行處理。

三、資產監測

已知資產梳理完成后，接下來肯定需要對未知資產進行管理，但如何發現未知資產呢?如果管理未知資產呢?這是企業資產管理的難點，也是重點，從過去的經歷來看，因未知資產導致的安全事件并不少見，也沒少被領導請去喝茶，為盡量減少跟規避此種情況出現，可以從以下幾個方面考慮。

1. 資產發現

資產發現需要對一定范圍內的主機或應用系統指紋識別，包括操作系統版本、開放端口、提供的服務、服務版本等指紋進行識別。

資產發現可以采用主、被動資產發現方式相結合，主動探測主要用于對未知網絡下的資產探測，包括網絡主機探測、端口探測掃描，硬件特性及版本信息檢測;被動探測主要是指采集目標網絡的流量,對流量中應用層HTTP,FTP,SNMP等協議分析,從而實現對網絡資產信息的被動探測，用于持續性的監聽已知網絡下的未發現資產，并通過信息補全和深度掃描等方式完成資產屬性的補全。

實現方式：Masscan+Nmap

Masscan是大網段全端口掃描神器，就掃描速度來說應該是現有端口掃描器中最快的，Nmap是基于響應協議棧指紋的網絡資產探測工具的典型代表,Masscan進行第一遍的快速掃描，然后在進行Nmap(系統指紋信息是最全的)確認服務，實現快速全端口掃描。

2. 掃描結果處理

四、資產運營

資產最重要的還是全面性、準確性、實時性的問題，如果這三點達不到，那應急處置的時候會讓人頭疼，當然這也不是一蹴而就的問題，需要逐步完善才行，我們可以從以下幾個方面去考慮：

• 統一每類資產的字段，避免各部門使用時存在紕漏;
• 建議采用資產管理系統的方式進行存儲與查詢，有條件的單位可以創建CMDB;
• 嵌套入資產的變更流程中，包括新資產申請，下線，更換等方面，從源頭控制;
• 采用自動化的腳本或者程序去執行變更操作，人工審核或機器智能判斷，保證實時性。

這是在CMDB建設好之前，我們采用的臨時解決方式，還有很多地方需要完善的跟優化的，但總體保證應急響應資產準確率在90%以上，相比之前的excle表格維護，各資產分散不集中，數據不完整，已經提升了好幾個檔次，也為接下來的CMDB建設提供一定的數據與流程基礎，希望后面CMDB不會讓人失望，感興趣的小伙伴可以一起交流，分享。