资产是安全防守的基石。如果你不知道自己有什么,就不可能保护好它们。在网络安全攻防实战中,企业对自己资产的了解程度往往远低于攻击者。攻击者只需要找到一个入口点,而防守者需要保护所有可能的入口,资产画像就是解决这个问题的核心方法论。
【什么是资产画像?】
资产画像是对网络空间中每一项资产进行全方位、多维度描述的过程。目标是回答三个核心问题:
- 这资产是什么?—— 身份与属性
- 暴露面有多大?—— 可攻击面
- 风险有多少?—— 脆弱性与影响
【资产画像的七大核心维度】
一、身份维度(是谁)
- 资产标识:IP、MAC、主机名、域名
- 资产类型:服务器、网络设备、安全设备、终端、IoT、云资源
- 资产权属:所属业务、所属部门、责任人
- 生命周期:入网时间、退役时间、状态
- 实战要点:建立统一命名规范,确保对应关系准确,关注云环境弹性资产
二、暴露面维度(在哪)
- 网络位置:内网/DMZ/外网/云上
- 可达性:从互联网是否可直接访问
- 开放端口与服务:22、80、443、3389、3306等
- 攻击面:外部暴露点、可被利用的入口
- 实战要点:互联网暴露资产是重中之重,关注非常规端口,区分主动/被动暴露
三、脆弱性维度(有什么弱点)
- 系统漏洞:CVE编号、CVSS评分、PoC状态
- 配置缺陷:弱口令、默认配置、未授权访问
- 补丁状态:缺失的关键补丁
- 组件风险:Log4j、Fastjson等高危组件
- 实战要点:漏洞数量不重要,可利用性才重要,关注N-day漏洞武器化程度
四、价值维度(值不值得保护)
- 数据敏感度:是否含敏感数据、数据级别
- 业务重要性:核心系统/一般系统/边缘系统
- 影响范围:一旦失陷影响面多大
- 实战要点:核心业务+敏感数据=最高防护优先级,关注低调但重要的资产
五、防护维度(有什么保护)
- 终端防护:杀软、EDR、HIDS
- 网络防护:防火墙、WAF、IPS
- 访问控制:VPN、零信任、多因素认证
- 监控覆盖:日志审计、流量监控
- 实战要点:有部署不等于有效防护,关注防护盲区,日志要能支撑溯源
六、行为维度(平时干什么)
- 通信模式:正常对外连接哪些IP/端口
- 流量基线:日常流量特征
- 用户行为:谁在用什么方式访问
- 实战要点:建立基线需2-4周积累,关注突然出现的行为,可用于威胁狩猎
七、信任关系维度(和谁有联系)
- 横向关联:和哪些内网资产通信
- 纵向关联:上下游业务依赖
- 信任路径:从它出发能到达哪些关键资产
- 实战要点:关注枢纽型资产,横向移动目标是域控/核心数据库,打破内网即信任假设
【实施优先级】
- 第一阶段(1-2月):身份+暴露面+脆弱性 —— 摸清家底,识别高风险资产
- 第二阶段(1-2月):价值+信任关系 —— 建立业务视角,识别关键资产
- 第三阶段(持续):防护+行为 —— 完善监控,支撑威胁检测
【资产画像数据来源】
- 自动化采集:nmap/masscan资产发现、Nessus/OpenVAS漏洞扫描、NDR流量分析、SIEM日志平台
- 人工维护:CMDB资产流程、业务调研访谈、数据分类分级项目
【应用场景】
- 资产清点与合规
- 漏洞管理优先级
- 攻防演练与红队评估
- 应急响应与溯源
- 安全运营与威胁狩猎
【常见挑战与对策】
- 挑战1:资产数量庞大 → 分阶段推进,优先覆盖核心资产
- 挑战2:数据质量差 → 多源数据交叉验证,建立校验机制
- 挑战3:云环境动态变化 → 接入云API实时同步,缩短扫描周期
- 挑战4:跨部门协作困难 → 建立统一资产平台,明确维护责任
【结语】
资产画像不是一次性项目,而是持续演进的过程。最终目标:知己知彼,百战不殆。
当攻击来临时,你能比攻击者更快地回答:
- 哪些资产暴露在互联网上?
- 哪些资产存在高危漏洞?
- 哪些资产存储敏感数据?
- 攻击者可能通过什么路径横向移动?
做到这些,你就拥有了防守的主动权。
作者博客:http://xiejava.ishareread.com/
关注:微信公众号,一起学习成长!