终端安全求生指南（一）--终端发现

终端安全求生指南

一、终端发现

资产收集原则：

A、分步骤进行资产梳理

B、采用标准化来节省工作时间；

C、整理准确的资产列表；

资产发现的困难：

1、分段网络：大型网络，基于全球的网段难以发现所有资产，分段部署数据采集器；

2、基于IP私有协议的存在，例如IIOT；

3、针对脆弱性非常的强的设备，采用被动发现与询问是保障设备可靠安全运行的唯一方法；

BOOT CAMP:

1、收集已经存在资产清单；

2、网络扫描，使用自动发现工具，例如Nmap，TripwireAsset discovery;

3、被动发现：使用商业或者免费工具，例如Kismet,lumetaipsonar,发现终端设备与无线接入点；

4、减少可用IP地址空间；确保组织使用最少的IP地址空间；

ADVANCED TRAINING

5、分析DHCP日志，收集终端MAC地址；

6、发现新硬件；每季度（如果可以，可以更频繁）通过扫描发现新的终端设备以及可能存在***行为的未授权终端，并保障资产清单的更新；

7、针对终端设备/资产附带所有者以及其他属性，例如用途，价值等；让所有者明确，谁是保障终端安全的参与者；使用自动化工具设置标签，置于设备侧面，可减少或消除手工数据登记错误；

COMBAT READY

8、设置"电网"：进行终端授权，只允许授权终端访问安全网络；

9、自动化：使用主/被动扫描的方法更新终端清单，并实时、准确地记录数据与告警；

10、告警：针对能够快速发现的未知以及未授权、隐藏的终端要进行告警；

11、一体化：使用多种方法，例如ITSM,SIEM,GRC,FIM工具集成和关联的清单来强化并提升终端资产发现的准确性；