来源：https://www.itsecurityguru.org/2021/05/24/reinventing-asset-management-for-cybersecurity-professionals/

在与我们的客户的对话中，很明显，组织需要建立一个关于他们的it资产基础设施的全面视图，因为你不能保护你不知道或看不到的东西。但是，这种全面的观点需要专门针对安全团队，安全团队与IT团队在库存（ inventory）、软件支持（software support）和许可证（license ）监督方面扮演不同的角色。依赖于IT同行的资产清单的安全团队面临着对其资产的安全上下文缺乏可见性的挑战。

对于安全团队需要处理的大量问题的优先级，需要安全上下文的可见性。了解每个资产的风险背景可以帮助他们决定需要立即采取什么行动，以及可以增量地做什么，或者通过其他变更减轻什么，或者因为风险太低而忽略什么。

但安全团队想要的不仅仅是问题的清单。他们需要监视资产安全上下文的变更，这样他们就可以知道什么时候引入了具有特定特征或风险概要的新资产，或者什么时候现有资产改变了风险。当他们需要自动化时，他们就需要自动化，这样操作就会根据他们所设置的安全风险策略自动执行。Qualys VMDR将检测软件漏洞，但如果该软件一开始就不应该安装在该系统上呢?这些变化需要被监控。

在特别的基础上或在IT资产清单上手动添加安全上下文是不起作用的。由于安全团队的资源有限，需要自动化工具来实现管理中小型环境的规模和范围，更不用说企业规模的基础设施了。像“不应该在web服务器上运行数据库”这样的简单策略的实现可能会成为一个复杂的挑战。

一、向IT资产清单添加安全焦点

这就是为什么Qualys在过去几年对资产库存进行了大量投资，而AssetView和Global IT资产库存作为一个坚实的资产库存基础，在我们的客户中获得了吸引力，所有这些都来自于一个统一的平台。

今天，我很高兴地向大家介绍Qualys网络安全资产管理公司(CSAM)，该公司为这些功能添加了安全上下文，允许组织检测其基础设施中的安全漏洞，并对风险做出反应，从而进一步推动了这一进程。网络安全资产管理是为安全团队重新设计的资产管理，重点是全面识别所有系统，检测风险资产，并采取适当行动来降低风险。

二、识别资产并与CMDB同步

安全程序的出发点是了解你拥有什么。通过结合基于代理和无代理的数据收集、主动扫描来跟踪已知资产、被动扫描来识别未知资产，以及用于自动化的api, Qualys云平台为您的整个基础设施提供全面的资产发现，包括现场、云、容器、OT和物联网。

资产数据是规范化和分类的，因此您可以识别运行数据库的资产或来自特定供应商的硬件/软件，或资产类型(如打印机)。在此基础上，与您的CMDB的同步提供了附加的上下文丰富数据，包括组织、所有者、位置、资产类型(例如，生产或测试)，这有助于识别关键业务资产并自动标记它们。

三、检测和监视资产运行状况

为了准确地评估风险和检测风险资产，安全团队需要资产库存数据的广度和关联它以支持决策制定的能力。Qualys利用收集的、分类的数据，并通过Qualys云平台丰富它，因此这些资产的库存信息可以用于跟踪组织的安全政策的健康状况。

网络安全资产管理检测以下安全环境属性:

1、授权/未授权/需要的软件:管理白名单和黑名单，并了解哪些资产缺少所需的安全和监控工具，或哪些资产正在运行他们不应该运行的软件。

2、寿命终止(EOL)和服务终止(EOS)软件:特别是当软件是EOS且没有更多的安全更新可用时，由于缓解措施有限或不存在，风险是高的。您不希望EOL数据库在生产系统上运行，您希望从CMDB的角度自动化标识。

3、攻击面:Qualys外部扫描加上集成第三方来源，如Shodan.io提供了一个基于您的组织所拥有的所有ip的由外而内的视图，因此您可以看到您的库存中哪些资产可以从互联网上看到。

4、资产重要性:根据资产的属性定制和自动分配重要性。

像FedRAMP和PCI这样的强制要求您跟踪安装的未授权软件并报告它，这样您就可以证明遵从性。报告包括可配置的开箱即用的CSV提取报告，例如显示FedRAMP库存。

针对单个公司位置的视觉安全健康报告(如下所示)有助于描绘全局，识别需要进行其他分析的区域，并实现自动警报。