你知道网络上有哪些设备吗？

我最近开始通过SANS学习James Tarala教授的SEC566课程，内容涉及CSC 20关键控制措施，并决定将其作为一个博客系列，快速概述每个控制措施，以及如何开始在网络上实施它们。这绝不是对每个控制措施的深入分析，而更像是一个快速阅读，让你思考当前正在做的事情，或者可以开始做些什么来加强防御。

CSC #1：硬件资产的清单和控制

尽管这个问题似乎很简单，但许多组织在了解网络上有哪些设备方面仍然很挣扎。但是，想一想，如果你一开始都不知道要防御什么，怎么可能开始考虑防御你的网络呢？这可能是安全团队开始防御网络之路的起点。即使你是一个高度成熟的安全团队，但还没有这样做，请立即开始。因为这可能很困难。让我们分解一些很好的方法来实现这一点。

一个好的起点是设置一个主动发现工具。不要觉得使用像Nessus、Qualys或Nexpose这样的漏洞扫描器来帮助创建清单有什么不好。它们做得很好，而且如果你已经在使用其中一个，就不必担心额外花钱购买一个专门做这件事的主动发现工具。尽管有一些像Tanium这样的优秀工具可以做得很好……但需要付费。甚至Nmap与Ndiff也可以为你做到这一点，而且它们完全免费。结合主动发现工具，你还想实施一个被动发现工具。IPAM是一个很好的起点，有几个可以研究。有了这两个工具，你现在拥有：

• 一种有意寻找连接到网络的设备的方法。
• 另一种监控网络广播流量的方法。想想Bro与用户代理字符串。

以上两个截图突出了Bro如何被动捕获网络上系统的信息。

接下来，你可能想在网络上启用DHCP日志记录。普通坏蛋通常在网络上潜伏几个月（根据Madiant的数据，大约270天）才会被发现。没有DHCP日志记录，回溯并查看几个月前潜在事件的特定IP地址信息可能极其困难。那么，你该如何处理这个清单和日志记录呢？

仅仅将这些信息放在某个日志或文件中并不会有多大帮助。了解网络上有哪些设备的信息很酷，但了解网络上设备的信息更酷，并且可以节省大量时间。

网络上的每个设备还应附带以下信息：

• 设备名称
• 数据资产所有者（谁委托了该机器）
• 硬件地址
• 网络地址
• 该设备是否首先被批准连接到网络
• 你和你的团队认为有价值的任何其他信息

不言而喻，但当这些信息被整合在一起，并且有未经授权的设备访问你的网络时，确保有一个计划，在团队同意的时间范围内移除该设备或授权它。它还可以帮助回答这个问题……这是什么？

既然我们已经捕获了这些信息，让我们看看一种更预防性的方法，来处理试图连接到网络的设备，以及如何保护它。你的组织应该采用两个很好的实践：要求802.1x和NAC，以及客户端证书来验证连接到网络。这不仅包括终端笔记本电脑和台式机，还包括服务器和电话。

你很可能需要研究商业解决方案，如Cisco ISC或ForeScout。但请记住，实施控制措施是关于找到快速简单的胜利，并逐步发展到更复杂的解决方案。只需将商业NAC解决方案视为你安全路线图上的未来点。

现在，在这一点上，我知道一些读者可能会感到有点不知所措，不知道从哪里开始，或者觉得这根本不可能。

我已经与一些公司中唯一的安全人员进行了几次对话。独自完成这第一步可能令人生畏，而且似乎你必须打破预算才能开始。或者，你可能也认为你已经完全掌握并搞定了这一点。无论哪种方式，我想提供一些免费或开源工具，帮助你更好地处理这个任务。自动化在这里是最优的，但如果资金是个问题，那么请查看以下免费工具：

• Nmap
• OSSIM
• Spiceworks
• PacketFence
• OpenNAC

最后一点，没有必要急于求成。不要放弃与家人共度的夜晚、周末或假期，仅仅因为你无法说服管理层投入一些资金来自动化这一点或获取工具来帮助你。这不应该是一件你担心在下周完美完成的事情。安全不是一个目的地，而是一个过程，而这只是你可以掌握它的第一步。