解锁安全运营：提升感知识别能力 知己知彼筑牢根基

安全运营作为链接安全工具、安全人员以及安全流程和安全场景的纽带，通过识别威胁、快速分析、精准响应、协同防御，让安全建设中的能力得以施展并提升，已成为现代安全体系中必不可少的环节。

 

在安全419安全运营系列选题的开篇，我们分析到，建立安全运营核心能力，首先在于提升感知识别能力。本期，我们将聚焦这一维度展开探讨，观察业界的实践方式、运用的技术工具和落地成果。

 

 

 

安全运营是全局、长周期地保证价值资产处于安全状态的过程。“你无法保护你看不见的东西”，这句网络安全领域的经典之谈一语道出了安全运营目标的起点。安全团队首先必须了解需要保护的对象，如果资产不清晰，横亘在网络安全建设与运营之间的鸿沟就难以弥合，安全工作的瓶颈就无法突破。

 

一个组织在网络空间所拥有的一切设备、应用、数据等等都可能被潜在攻击者利用，资产识别及梳理不仅是帮助安全团队“知己”，同时也将通过资产管理来有效发现组织的脆弱性，包括漏洞、弱密码、配置错误等等，加固修复以降低安全事件发生的概率。

 

立足安全运营的全局视野，其实不仅是孤立的弱点导致独立的安全事件，从攻击者的视角发现组织面临的安全风险并评估其影响和优先级，这一系列“知彼”的活动，将有效支撑互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全响应与处置等等日常安全运营与攻防对抗中的关键活动。

 

综上所述，全面的感知基础能力的建设对应的是安全运营的“事前”工作，将对“敌我态势”形成清晰认知和勾勒，为后续的防御体系打下根基。

 

 

随着企业数字化进程的加速，物理资产、虚拟资产和云上资产等快速增加，攻击资源越来越丰富，作案手法越来越隐蔽，导致安全团队对资产的识别和管理，以及对脆弱性和风险的评估变得十分困难。

 

对于网络空间资产来说，涵盖了硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、小程序、App、API、源代码等等类型，同时还包括极易被忽略的供应链、影子IT等未知资产。概括来说，只要是可操作的对象，不管是资产还是其属性，都需要做好全生命周期的管理。

 

传统的资产管理偏向于运维、防御的视角，管理力度较为粗放，攻击者视角所关注的目标对象是互联网域名、IP、URL、互联网暴露端口、对外接口地址、后台管理入口等关键信息，而这部分资产安全属性在过去鲜少涉及。同时没有建立自动化的资产更新机制，变化中的资产很容易被攻击的对象和被利用的短板。

 

对资产识别分析能力仍以主动干扰式的扫描探测为主，存在一定的局限性，比如可能漏掉处于静默状态的资产、主动扫描容易被安全措施阻断、对实时控制系统造成干扰导致生产过程异常甚至停止等问题。不仅如此，由于隐蔽传输、未知开放端口、错误配置等原因，庞大的暴露面无法有效收敛。而网络的复杂性又导致攻击发生后难以还原入侵路径，监测存在滞后性。所有这些因素都会影响对风险的评估结果和资产管理。

 

 

针对这种对象多、分布广、变化快的资产管理现状，近年来涌现出诸多安全体系和技术工具，帮助企业提供呈现具备全景化、动态化、关联性的资产画像和风险态势。

 

比如攻击面管理，一方面关注企业数字化资产，通过内部攻击面管理（CAASM）手段，通过与现有工具的API集成来工作，依赖于其他已部署的技术作为上下文，并富化从这些技术中提取的数据，以提供组织资产库存的整体视图。另一方面关注外部资产，通过外部攻击面管理（EASM）手段，使用一系列来源和方法扫描全球的互联网，寻找其面向外部的资产暴露面，包括服务器、登录凭证、公共云服务、错误配置可被攻击者利用的第三方合作伙伴软件代码漏洞等，并且对这种资产暴露面进行可视化管理。

 

对攻击面管理提供支撑的技术或工具集还包括漏洞评估（VA）、弱点优先级技术（VPT）、威胁情报（TI）等等。值得关注的是，根据Gartner在2023年底发布的《漏洞评估市场指南》报告，VA解决方案可对漏洞进行识别、分类和优先排序，并对漏洞的修复或缓解工作进行组织协调，通常支持安全运营、网络资产和系统可视化能力。如今，VPT工具极大地改变了VA市场，主要解决了VA工作中的痛点问题，即如何针对VA的检测结果采取恰当的响应动作。大多数VPT工具一开始都专注于优先级，但现在正在发展为漏洞情报工具，通过VPT落地基于风险的漏洞管理。

 

聚焦到更具体的资产识别方式，主流技术包括主动探测、被动探测、指纹特征匹配识别等等。比如主动探测是主动向目标资产发送构造数据包，并从返回数据包的相关信息（如各层协议内容、 包重传时间等）中提取目标指纹，与指纹进库进行比对，实现对开放端口、操作系统、服务及应用类型的探测。被动探测通过监控网络流量、分析日志等方式，能够实时了解资产的动态变化，为业务决策提供实时数据支持。此外对日志、流量等数据进行分析，通过大数据处理、机器学习等手段，挖掘数据中蕴含的有价值信息，将为业务提供更为精准的资产识别结果。

 

总而言之，在安全运营的视角下，为了识别并定义清晰资产，了解自身的薄弱点，掌握风险的态势，可采取的手段方式是灵活多变的，并非技术的单一领域，同时，多种技术存在着融合演变趋势，一同被纳入更与时俱进的安全体系或方案中，为安全运营目标提供更高效的支撑。

 

 

安全419了解到，核心业务覆盖攻击面管理、流量分析、漏洞管理等方向的安全厂商，均有相关技术工具及解决方案推向市场，在资产管理、脆弱性管理、情报等能力方面或各有侧重。我们在此敲砖引玉，介绍两款成熟产品的功能。

 

构建资产数字化全息地图，科来采用被动流量识别的方式，通过主动资产与业务分析识别，实现主动监测预警与防御。对业务和资产识别，科来从流量中实时解析并还原流量元数据，自动化实时发现和识别企业的全量资产，使资产识别依据可视化，让用户清晰掌握资产属性，并对业务和资产形成全景可视化画像，即在网络底层刻画网络实体的通信特性，在网络顶层刻画网络实体的业务行为，对登记的所有资产的网络通讯行为、威胁信息、组件信息、硬件信息等进行综合展示，亦可对任意资产通讯全景进行可视化展示和分析，对资产通讯行为进行标签化描述。

 

科来资产被动流量识别技术对资产的全面梳理，即使流量极小的业务资产也不会遗漏并实现数据留存，并通过资产画像发现资产异常行为。资产被动流量识别技术能够发现任何有网络活动的资产，不存在由于反探测技术或安全防护导致识别被阻断的问题，解决了主动扫描探测时静默资产不在线导致无法发现的难点。另外，旁路部署被动采集无需对目标网络进行扫描，可以避免对业务造成影响。

 

 

打造资产安全管理闭环，华云安提供灵洞.网络资产攻击面管理平台。在资产盘点上，突破传统的资产发现模式，采用API接口集成 CMDB、ITSM、EDR、主动扫描、被动探测和EASM平台未知资产数据，全方面获取企业内外部的主机资产、云资产和其他数字资产。下一步进行暴露面检测，通过集成资产盘点、弱点扫描、威胁情报等数据，通过多维度风险分析，打通资产与弱点、情报、响应间的关系，分析弱点可能产生的风险情况，帮助企业识别完整的资产暴露面。紧接着完成攻击面验证，集成EASM平台数据，基于红队视角，通过多维度的自动化安全测试，沉浸式模拟攻击与利用，发现更深层的安全风险，并以攻击者视角绘制完整的资产攻击面。响应处置阶段，利用自动化技术对安全风险进行全生命周期的监控和运营。结合自动化编排，整合不断扩展的安全能力，实现攻击面的有效检测、分析研判、响应处置和持续监控。

 

 

 

资产是串联安全运营的基础，风险是驱动安全运营的核心。在事前阶段，通过资产识别、画像及监测的完整串联，实现资产画像的完整绘制，从而明确保护的对象和关键性、敏感性区分。进一步对内外资产进行多维检测和解析分析，发现隐藏风险，监测异常行为，实现对资产和风险的可视、可查、可管，提升企业的安全监控以及威胁防护能力。

 

接下来，我们还将围绕安全的事中、事后阶段，探讨安全运营中关于检测分析和决策响应等核心能力的构建，欢迎有相关思考及实践的厂商与我们联系，共同分享见解展示成果。