资产管理.

资产管理是其他所有安全控制的基础:你无法保护、修补、监控或响应一个你都不知其存在的东西。现代资产清单覆盖终端、服务器、网络设备、移动设备、云工作负载、SaaS 租户、身份、代码仓库与数据存储,并附带所有者、关键性与暴露面属性。发现工作日益持续化、工具化,通过 CMDB 集成、EDR 数据、云 API 和 EASM 探测完成。良好的资产管理为漏洞管理、配置管理、应急响应和零信任执行提供输入,也是 CIS Controls 等框架的先决条件。

它的首要地位并非纸上谈兵:CIS Critical Security Controls(v8)将"企业资产的清点与控制"和"软件资产的清点与控制"列为第 1 和第 2 项控制——这是一个组织最先应当做的事情——因为未托管的主机正是入侵藏身之处。Log4Shell(CVE-2021-44228)让这一教训刻骨铭心:无法回答"我们在哪里运行 Log4j?"的团队耗费数天四处排查,而拥有准确软件清单和 SBOM 的团队则在数小时内厘清了暴露面。Equifax 2017 年的数据泄露(CVE-2017-5638)之所以迟迟未能收敛,部分原因也在于一个存在漏洞的 Apache Struts 资产没有被追踪到一个会去修补它的责任人。最难填补的缺口是"影子"资产——被遗忘的云实例、已过期却仍在线的子域名,以及绕过 IT 的 SaaS 注册——外部攻击面管理(EASM)工具通过从攻击者的视角进行扫描来暴露这些资产。

flowchart LR
  A[发现来源] --> B[规范化与去重]
  subgraph A[发现来源]
    A1[EDR / 代理]
    A2[云与 SaaS API]
    A3[网络扫描 / EASM]
    A4[CMDB / DHCP / IdP]
  end
  B --> C[单一可信来源]
  C --> D[充实:所有者、关键性、暴露面]
  D --> E[漏洞管理]
  D --> F[补丁与配置管理]
  D --> G[应急响应]
  E --> H{核对差异}
  H --> A

目标是一个持续对账的单一可信来源:每个周期都比对各来源所见,标记出现在某个系统却不在另一个系统中的资产(这是未托管或非法主机的典型迹象),并在资产重新滑入暗处之前为其指派一位责任人。