0X00前言

笔者曾经在某实体企业的安全运营中心工作的时，承担了大半个安全运营的工作，遇到了不少问题，恰逢安全公司Gen AI开始布局，遂引入其中，以增其利。笔者当时面临的最大问题就是安全资产的模糊与缺位，因为公司大规模的扩张并购海内外资产，导致已有的安全资产表已经如同虚构。如何高效的维护"资产表"成为了笔者所在部门——安全运营中心 (SOC) 的Top1规划，这就导致我的同事全部的精力放在和资产负责人"友好交流"的状态，于是乎资产整理的重担就交给我了。

企业的安全运营中心(SOC) 的主要目标是提供准确、完整且及时的威胁信息，以便企业在业务受到影响之前进行补救。SOC利用内部安全设备监测和第三方的威胁情报服务，获取威胁告警，不断衡量威胁的准确性、完整性和及时性，并努力随着时间的推移改进这三个方面。因为安全运营人员的目标是尽可能的杜绝安全事件产生，所以引入附带有Gen AI的安全产品，将对这三个变量中的至少一个产生可衡量的改进，这可以帮助我们有效的应对突发的安全事件。

0X01资产探测

想要以较小的代价了解企业资产的存在，来保护资产。对于外网，我们可以通过资产测绘的方式去收集外网暴露的资产；对于内网，我们可以寻求运维人员的支持或者分期、分时、小规模的利用团队开发的安全探测工具进行扫描确认。收集到资产后我们可以利用网上的开源工具（例如：Whois、Nmap、Nessus、Xray、Pocsuite3、Sqlmap、Fscan......）去定期扫描，也可以购买第三方的安全测试服务。由于DMZ、多云部署以及其复杂的网络环境，现实情况下找公司所有拥有/控制的资产，正在变得越来越困难。这可以从笔者整理资产的过程当中得到体现。

关于扫描探测，也分为被动扫描和主动扫描，其目的都是扫描网络上的资产。每种方法都有其自身的优点和考虑因素，笔者通常将被动和主动扫描结合使用，即利用了两种方法的优点，也减轻了各自的局限性，以期待可以获得更加全面的资产安全报告清单。

被动扫描

被动扫描涉及观察和分析网络流量，而不主动向设备发送请求或数据包

依靠监视现有网络通信来收集有关设备、服务及其配置的信息

Whois、Xray等工具都是可用于被动扫描的工具

主动扫描

主动扫描涉及主动向网络上的设备发送请求或数据包以引发响应并收集信息

包括 ping 扫描、端口扫描和服务枚举等技术

Nmap、Nessus是常用的主动扫描工具

在现实情况下，企业除了结合使用被动和主动扫描来进行资产探测，被动扫描提供持续监控和实时洞察，而主动扫描则确保网络上的资产更加完整和最新。同时也可以搭建灯塔、白鹿等资产探测系统、或者购买FOFA、钟馗之眼等第三方厂商的服务，作为补充。

0X02命名标准

企业的安全运营中心(SOC) 需要制定资产设备的标准命名规范，这有助于我们标识和分类不同类型的设备，便于组织和管理；管理和监控设备更高效，快速定位异常情况；在网络事件发生时快速识别受影响设备，采取响应和应急处理措施；保持整个组织内的统一规范，降低混乱和错误的可能性，提高工作效率和准确性。这些措施有助于提高网络安全性，减少损失并提升应急响应能力。

笔者认为资产设备的标准命名规范应该简短且明细。这样可以使得运营人员通过资产命名，快速确定资产所在的位置以及对应资产类型。建议如下（附表格供大家参考）：

1. 利用数字定义资产数量（注意不要使用特殊字符，保证与资产交互的所有应用程序和系统的兼容性）。

2. 利用主机名定义资产地理位置（如果跨国企业，可以使用英文缩写来注明其来源国家/地区或城市，例如：CN表示中国地区、BJ表示北京分公司、LON表示伦敦分公司、ALI表示阿里云托管...）。

3. 利用缩写定义资产功能角色（例如：DB表示数据库服务器、DC表示域控制器、VM表示虚拟机、FS表示文件服务器、LT表示笔记本电脑...）。

4. 利用缩写定义资产归属地点（例如：HR表示人事部、FIN表示财务部...）。

安全政策和标准是组织确保信息安全的基础，安全运营人员会根据组织的需求和特点来解释和执行这些政策和标准，以确保组织的安全性得到有效维护，以下是制定政策标准时的一些注意事项：

谁负责更新和维护资产跟踪系统？是一个人还是一个团队？

在授予对该系统的访问权限时，您是否应用了最小权限原则？可以查看它的人可能会了解敏感信息，例如终止、新设备的发放和兵力削减。

员工如何通知负责此流程的人员或团队设备已易手？

是否需要定期重新验证部分或全部资产数据库的准确性和流通性？

是否有任何监管要求来报告资产跟踪的状态或已发现的任何缺陷？

书面程序文件位于哪里？它是否保存在一个中心位置，以便需要参考它的员工可以轻松访问？

0X03资产标签

企业的安全运营中心(SOC) 制定出命名标准后，就需要安全运营人员和运维人员推进标准落地了。资产标签对于安全人员来说具有重要作用和重要性，通过为每个资产设备添加标签，安全人员可以更轻松地识别、分类和跟踪不同类型的资产，有助于建立资产清单和管理资产库存。此外，标签还可以帮助安全人员监控资产的状态、识别潜在的安全风险，并制定相应的安全策略和措施，从而加强网络安全防护，降低安全漏洞和数据泄露的风险。

1. 分配IT设备时，在设备贴上写有资产名、资产负责人、负责人联系方式的标签或贴纸。

2. 制作Excel资产表格，如果员工离职、资产变动的情况，方便员工在资产表格上修改。

3. 安装资产管理程序（例如：BgInfo（如下图所示，图片来源：redcanary）在登录后将主机名覆盖在用户桌面上）。

0X04资产追踪

资产追踪对于企业的安全运营中心(SOC) 来说也至关重要，这需要安全运营人员不间断的更新"资产清单"。通过对组织内的IT资产进行追踪和管理，安全运营人员可以确保对所有设备的全面了解，包括其位置、状态和安全配置。这有助于及时发现和应对潜在的安全漏洞和风险，提高网络安全性，保护组织的重要数据和资产免受威胁。同时，还有助于优化资产利用率，降低成本，提高运营效率，是安全工作中不可或缺的一环。运营人员通过下列四大类（部分）进行资产追踪：

归属：资产名/资产标签、设备用户、资产归属团队和部门、资产物理位置、资产负责人联系方式

使用：购买日期、物理设备的保修到期日期、云托管虚拟设备的订阅到期日期、退役/回收记录

详情：设备品牌、设备型号、设备OEM序列号、资产MAC 地址、资产IP地址、资产端口号

标签：主机、防火墙、交换机、WAP、打印机、扩展坞和其他设备

0X05生命周期

跟踪过程和解决方案是企业的安全运营中心(SOC)需要持续关注的（设备生命周期如下图所示），安全运营人员需要对资产的生命周期有一个比较清晰的认识，如果企业的笔记本电脑周期为五年，那么该设备大概率会有十几个人经手。对于企业来说，保存每次设备易手的记录非常重要。对于某些规模较大的跨国企业来说，这不仅是监管要求，也是安全运营人员对于资产掌控的需求。

笔者的建议是利用"廉价"的解决方案管理IT资产清单表，一来是成本较高度复杂的SaaS的付费产品低，二来是不需要第三方公司接受，避免了供应链攻击导致的敏感数据泄露。对企业来说，避免安全事件的最佳方法就是遵循相应的流程标准。

0X06安全协作

安全运营团队在企业中如何知道，设备何时已部署或停用的关键是通过授予安全人员查看IT资产清单的权限，即使在IT和安全部门分离的情况下也能够进行内部审核。这个时候可以考虑，使用状态检查解决方案，强制在设备上安装EDR软件，并在设备访问公司网络之前进行安全状态检查。零信任安全模型建议对应用程序和身份进行身份验证，并使用设备保证等解决方案确保设备在授予敏感系统访问权限之前已完全注册到所有IT和安全平台，从而最大限度降低不受监控的端点访问特权数据的风险。此外，当设备涉及安全事件时，提醒安全团队是至关重要的。如果设备被隔离并且与网络的连接被切断，请务必让运营人员知道。这样，当安全团队调查同事被攻击的计算机系统上的威胁时，可以立即给同事分配新计算机进行办公，避免耽搁业务流程。通过以上的方法，安全运营团队可以更有效地监控和管理设备情况，确保网络安全性，减少潜在的风险和威胁。

0X07结论

笔者认为对自家企业资产的盘点和监测一直是安全运营中心 (SOC) 最关键的任务。虽然大多数安全人员都认为掌控企业IT资产清单非常重要，但是达到这种掌控力度的大企业寥寥无几，由于企业规模的扩大、办公地点的增多、人员流动的频繁就导致了掌控企业企业IT资产清单注定是一个持之以恒的过程。有的时候企业在效率\安全当中，经常会选择性忽视和降低安全的优先级（这个是后话了）。

总之，企业安全运营人员应该了解IT资产管理的作用，并作出适合企业的资产排查方案。笔者想强调的是资产探测、命名标准、资产标签、资产追踪、生命周期、安全协作的重要性。从这六大方面去入手，避免出现遗漏，导致资产清单表的不完善，安全运营人员在花大量的时间、精力去弥补。希望大家读完这篇文章，有所收获！！

https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/network-devices?view=o365-worldwide

https://www.crowdstrike.com/products/exposure-management/falcon-discover/

https://www.sentinelone.com/platform/singularity-ranger/

https://www.paloaltonetworks.com/resources/datasheets/xpanse-discovery-and-attribution