最近一部熱議網(wǎng)劇《隱秘的角落》播出，劇中的人物復(fù)雜多面，內(nèi)心有著許多不為人知的“隱秘的角落”，在網(wǎng)上聯(lián)軟君也看到了多方的討論。正如劇中撲朔迷離的情節(jié)一樣，在網(wǎng)絡(luò)安全中，不僅有看得見的資產(chǎn)，更有許多隱秘的看不見的資產(chǎn)，資產(chǎn)的復(fù)雜性也是讓管理者頭疼的一點(diǎn)。

面對(duì)即將到來的一年一度的大型攻防演習(xí)，其中資產(chǎn)梳理、暴露面收斂是參加演習(xí)的單位在前期必須做且要做好的工作，也是保護(hù)、檢測(cè)與響應(yīng)的基礎(chǔ)。在演習(xí)期間，持續(xù)的資產(chǎn)風(fēng)險(xiǎn)監(jiān)測(cè)、快速響應(yīng)和處置，也是演習(xí)方避免丟分，爭取得分的一大關(guān)鍵要素。演習(xí)中，紅藍(lán)雙方攻防均以網(wǎng)絡(luò)空間中的資產(chǎn)信息、情報(bào)、風(fēng)險(xiǎn)暴露面為起點(diǎn)，或預(yù)測(cè)攻擊路徑，或選擇攻擊突破，并持續(xù)展開對(duì)抗。

經(jīng)過2個(gè)月的內(nèi)外部廣泛測(cè)試，聯(lián)軟科技隆重發(fā)布新版網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪系統(tǒng)UniCSM 3.0：

新版本基于以資產(chǎn)為核心的安全運(yùn)營模型，以資產(chǎn)測(cè)繪為起點(diǎn)，結(jié)合情報(bào)監(jiān)測(cè)、應(yīng)急響應(yīng)和持續(xù)監(jiān)控，實(shí)現(xiàn)對(duì)資產(chǎn)的持續(xù)安全運(yùn)營，解決網(wǎng)絡(luò)空間有什么、是什么、有什么風(fēng)險(xiǎn)、哪些業(yè)務(wù)和責(zé)任人有關(guān)，風(fēng)險(xiǎn)解決的優(yōu)先級(jí)如何等問題，并可實(shí)現(xiàn)整體資產(chǎn)和脆弱性態(tài)勢(shì)感知。

作為新一代開啟資產(chǎn)全景視圖的風(fēng)險(xiǎn)管理平臺(tái)，以六個(gè)核心要素作為基本原則：

01完整性

擁有豐富的資產(chǎn)探測(cè)手段，可應(yīng)對(duì)復(fù)雜多變的網(wǎng)絡(luò)環(huán)境、業(yè)務(wù)場景：主動(dòng)掃描采集、被動(dòng)流量采集，以及其它技術(shù)手段，獲取全量、多維的資產(chǎn)數(shù)據(jù)。

02實(shí)時(shí)性

資產(chǎn)是變化的，安全是動(dòng)態(tài)的。有必要及時(shí)掌握資產(chǎn)的實(shí)時(shí)信息，洞察資產(chǎn)異動(dòng)。并與安全事件、情報(bào)關(guān)聯(lián)分析，快速收斂攻擊暴露面，縮短攻擊時(shí)間窗口。

03關(guān)聯(lián)性

有效的安全管理需要閉環(huán)。因此要與業(yè)務(wù)信息關(guān)聯(lián)、與負(fù)責(zé)人關(guān)聯(lián)、與安全情報(bào)關(guān)聯(lián)，提高風(fēng)險(xiǎn)處置與響應(yīng)效率，亦為安全決策（漏洞影響范圍、修復(fù)優(yōu)先級(jí)）提供數(shù)據(jù)支撐。

04準(zhǔn)確性

風(fēng)險(xiǎn)檢測(cè)要精準(zhǔn)且結(jié)果可復(fù)現(xiàn)，才能確保管理的效率。基于PoC的漏洞檢測(cè)方式，覆蓋各類型安全漏洞與攻擊手法的檢測(cè)，檢測(cè)結(jié)果將還原攻防場景中的實(shí)際效果。

05開放性

資產(chǎn)安全作為整個(gè)安全體系的基石之一，需要良好的開放性。通過API接口開放，對(duì)接第三方產(chǎn)品聯(lián)動(dòng)與數(shù)據(jù)共享，提供更多管控觸角。支持用戶根據(jù)自身的資產(chǎn)特性，增加資產(chǎn)識(shí)別指紋與PoC檢測(cè)腳本。

06持續(xù)性

第一，平臺(tái)具備持續(xù)發(fā)現(xiàn)、檢測(cè)、告警、復(fù)測(cè)、歸檔能力。

第二，安全研究團(tuán)隊(duì)持續(xù)將安全經(jīng)驗(yàn)、最佳實(shí)踐轉(zhuǎn)化為產(chǎn)品能力。

圍繞上述理念和核心能力建設(shè)，聯(lián)軟歷時(shí)一年，完成平臺(tái)的大版本升級(jí)和測(cè)試，正式推出新一代網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪平臺(tái)，該平臺(tái)將成為數(shù)字風(fēng)險(xiǎn)管理和資產(chǎn)全生命周期安全運(yùn)營平臺(tái)的基礎(chǔ)。

除此以外，新版本的特性還包括：

●更豐富的測(cè)繪手段：采用主動(dòng)與被動(dòng)相結(jié)合的方式實(shí)現(xiàn)資產(chǎn)探測(cè)，并支持與云管平臺(tái)、CMDB等已有資產(chǎn)系統(tǒng)的對(duì)接，提供agent等更多資產(chǎn)收集方式接口。

●增強(qiáng)了業(yè)務(wù)、風(fēng)險(xiǎn)、責(zé)任人和資產(chǎn)之間的關(guān)聯(lián)能力，提供更實(shí)用的資產(chǎn)登記和多渠道可定制的資產(chǎn)風(fēng)險(xiǎn)告警功能。

●增強(qiáng)了數(shù)字資產(chǎn)風(fēng)險(xiǎn)情報(bào)監(jiān)控能力，如暗網(wǎng)、開源社區(qū)、影子資產(chǎn)、社交媒體等。

●更方便的操作，更直觀簡潔的數(shù)據(jù)呈現(xiàn)。

產(chǎn)品提供更直觀、實(shí)用的整體資產(chǎn)風(fēng)險(xiǎn)態(tài)勢(shì)感知：

產(chǎn)品提供更豐富的設(shè)備和行業(yè)資產(chǎn)指紋識(shí)別能力，根據(jù)GB∕T 36475-2018《軟件產(chǎn)品分類》和中央政府采購網(wǎng)信息產(chǎn)品分類目錄，可識(shí)別網(wǎng)絡(luò)產(chǎn)品、安全產(chǎn)品、物聯(lián)網(wǎng)設(shè)備、 辦公外設(shè)、企業(yè)應(yīng)用、系統(tǒng)軟件、支撐系統(tǒng)等十萬種IT資產(chǎn)：

產(chǎn)品基于容器和微服務(wù)架構(gòu)，提供更靈活的部署方式，除提供SaaS服務(wù)外，還支持公有云、私有云、混合云部署：

產(chǎn)品可應(yīng)用到更豐富的場景中，既滿足單一客戶互聯(lián)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)監(jiān)控或包含眾多分支或下屬單位的全網(wǎng)資產(chǎn)測(cè)繪要求，也能給行業(yè)或地區(qū)監(jiān)管提供資產(chǎn)稽核、互聯(lián)網(wǎng)資產(chǎn)歸屬梳理、單一風(fēng)險(xiǎn)快速排查等高度可擴(kuò)展方案。

隨著網(wǎng)絡(luò)環(huán)境的變化，企業(yè)面向互聯(lián)網(wǎng)的IP、設(shè)備、系統(tǒng)等資產(chǎn)所帶來的風(fēng)險(xiǎn)暴露面存在著擴(kuò)大的隱患，UniCSM網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪系統(tǒng)，以攻擊者視角全面覆蓋資產(chǎn)和暴露面，摸清家底、風(fēng)險(xiǎn)管控，幫助客戶隨時(shí)洞察網(wǎng)絡(luò)空間資產(chǎn)暴露面，主動(dòng)掌控資產(chǎn)動(dòng)態(tài)。

如果您對(duì)本次版本新增或優(yōu)化的功能感興趣，您可以通過以下方式和我們聯(lián)系，詳細(xì)了解本次版本的功能特性或反饋您的意見： 熱線：400-6288-116 電話：0755-86219298