RSAC2019 创新沙盒大赛功效揭晓，很不测地评出了主打网络安适资产打点的公司——Axonius为本届冠军，让国内各类竞猜勾当的参预者们大跌眼镜，连呼没想到。RSAC创新沙盒的年度大赛素有“全球网络安适行业财富的风向标”之称，本届RSAC对付Axonius的青睐颇耐人寻味。国人眼中这么“普通”、“没什么技术含量”、“纯体力活儿”的“资产打点”业务，竟然辅佐Axonius 成为了本届RSAC创新沙盒大赛的年度冠军！令笔者第一次觉得到网络安适界终于开始务实起来了，开始注重根本事情了。
 
资产打点，看起来没什么技术含量，是很多人不屑于从事的安适事情，又或者是某些人眼中大量开源软件的堆砌。但其实国内的网络资产梳理事情早就如火如荼的开展起来了，作为网络安适资产摸底、资产治理范围的一名老兵，接下来笔者将分几篇文章和大家聊聊这几年在网络资产安适战斗中踩过那些坑以及背后的心得体会。
 
网络资产打点是网络空间治理的基石
网络空间作为继陆、海、空、天之后的“第五边境”，已成为当前世界列国争夺的战略焦点。我国已经成为网络大国，智慧都市、数字中国、互联网+等技术浪潮正在改革传统的出产和生活模式，网络安适也成为事关国家安适、国家成长和泛博人民群众事情生活的重大战略问题。
 
维护网络安适，首先要知道危害在哪里，是什么样的危害，什么时候产生危害。事情重点是“摸清家底，认清危害，找露马脚，传递功效，督促整改”。可见“摸清家底”，也就是通过各类技术手段实现网络空间设备的描述和识别，是网络安适事情的重中之重，是网络空间安适治理的基石。（此不雅概念与本届创新沙盒大赛冠军Axonius公司“You Can't Secure What You Can't See”的理念一致）
 
网络空间中网络数字资产的现状
众多网络安适人员最为紧张的莫过于突发性的“黑客事件”，尤其是当那些集中发生发火且声势浩大的黑客打击产生时，各家网络安防人员无疑会高度防范，严阵以待。通过对安适打击事件进行连续的跟踪和分析，盛邦安适发明，从安适打击的方针行业来看，在近三年产生的400多起打击事件中，教育行业占比到达55%，当局行业占43%。在刚过去的2018年，当局类占比14%, 教育类占比19%， 企业占比49%。针对教育行业，盛邦安适拔取了包孕 985/211院校、重点院校、普通院校、高职、普教5大类近百个教育机构进行调研，通过被动流量学习进行Web资产梳理和数据分析。
 

 
 
数据显示，已知系统资产数量占比资产总数分袂为：
 
机构类型   211/985
院校   重点院校   普通院校   高职院校   其他机构  
未知资产占比   45%   48%   49%   54%   63%  
备注   界说：以HTTP/HTTPS可以访谒的都属于Web资产  
 
可见，即使是资产打点方面做得最好的211/985院校，已知资产数量也仅占所有资产的55%, 仍然有45%的资产是未知的。进一步研究发明，这些未知资产的组成主要为：
 
(1)  高端口资产占10%（就是做了端口转换的资产）：高端口是防火墙或者部分尝试室做了端口转换的业务系统、网站等。

(2)  业务系统占11%：这些业务系统由教学、教辅系统构成，部分使用域名访谒，部分没有进行备案登记。好比，常出问题的高校迎新打点系统、OA系统、就业打点系统、藏书楼打点系统等等。

(3)  网络设备/网络安适设备占3%：分袂是机房打点系统、交换机、路由器、网络防火墙、上网行为打点、流控设备、计费系统等。

(4)  中间件占2%：指安置了中间件系统，但是默认页面可以对外访谒的资产。这类默认页面每每会造成信息泄露，从而导致安适问题。

(5)  疑似业务系统占10%：对这类系统分袂访谒和确认，发明由打印机、摄像头、电梯打点系统、门禁卡打点系统、大屏控制系统等物联网设备构成。跟着高职院校、普教等机构的数字化校园的不停推广，这部分占比极高。
 
基于对教育行业抽样调研和统计数据可知，广域网网络资产不清造成的风险是极其严重，也是极其棘手的：要知道，目前安适打点和技术手段已经层层叠加，但仍然还会有大量未知资产的存在，这不得不让我们警惕。
盛邦安适颠末详细的技术分析，认为主要原因有：
 
1）      业务多

业务部门众多，导致需求不一致，记事本模式的资产打点方法不能及时跟进系统变革。

2）      新技术

云平台、虚拟化的大量使用，数据中心变革成为常态，没有新的资产打点方法。

3）      突发性

因为某个勾当而成立的系统，当勾当结束后，系统没有及时退运。

4）      打点员制度

当打点员更替时，交接不彻底，或者多次交接，导致系统变为僵尸系统。
 
解决以上问题的关键，最终还是要回归到是否能够做到对自身网络资产“知根知底”，是否能够真正做到可知、可控、可管，快速定位危害，并将威胁覆灭在萌芽之中。网络资产识别是网络空间治理的基石，只有先把这步走好了，才华谈得上后续对网络空间的治理。
 
资产治理系列将分几篇文章陆续分享，接下来还将为大家带来网络资产打点的要领论以及资产打点如何与业务相结合的深度解读。敬请等候。