終端安全求生指南（一）--終端發(fā)現(xiàn)

終端安全求生指南

一、終端發(fā)現(xiàn)

資產(chǎn)收集原則：

A、分步驟進行資產(chǎn)梳理

B、采用標準化來節(jié)省工作時間；

C、整理準確的資產(chǎn)列表；

資產(chǎn)發(fā)現(xiàn)的困難：

1、分段網(wǎng)絡(luò)：大型網(wǎng)絡(luò)，基于全球的網(wǎng)段難以發(fā)現(xiàn)所有資產(chǎn)，分段部署數(shù)據(jù)采集器；

2、基于IP私有協(xié)議的存在，例如IIOT；

3、針對脆弱性非常的強的設(shè)備，采用被動發(fā)現(xiàn)與詢問是保障設(shè)備可靠安全運行的唯一方法；

BOOT CAMP:

1、收集已經(jīng)存在資產(chǎn)清單；

2、網(wǎng)絡(luò)掃描，使用自動發(fā)現(xiàn)工具，例如Nmap，TripwireAsset discovery;

3、被動發(fā)現(xiàn)：使用商業(yè)或者免費工具，例如Kismet,lumetaipsonar,發(fā)現(xiàn)終端設(shè)備與無線接入點；

4、減少可用IP地址空間；確保組織使用最少的IP地址空間；

ADVANCED TRAINING

5、分析DHCP日志，收集終端MAC地址；

6、發(fā)現(xiàn)新硬件；每季度（如果可以，可以更頻繁）通過掃描發(fā)現(xiàn)新的終端設(shè)備以及可能存在***行為的未授權(quán)終端，并保障資產(chǎn)清單的更新；

7、針對終端設(shè)備/資產(chǎn)附帶所有者以及其他屬性，例如用途，價值等；讓所有者明確，誰是保障終端安全的參與者；使用自動化工具設(shè)置標簽，置于設(shè)備側(cè)面，可減少或消除手工數(shù)據(jù)登記錯誤；

COMBAT READY

8、設(shè)置“電網(wǎng)”：進行終端授權(quán)，只允許授權(quán)終端訪問安全網(wǎng)絡(luò)；

9、自動化：使用主/被動掃描的方法更新終端清單，并實時、準確地記錄數(shù)據(jù)與告警；

10、告警：針對能夠快速發(fā)現(xiàn)的未知以及未授權(quán)、隱藏的終端要進行告警；

11、一體化：使用多種方法，例如ITSM,SIEM,GRC,FIM工具集成和關(guān)聯(lián)的清單來強化并提升終端資產(chǎn)發(fā)現(xiàn)的準確性；