Axonius：融合多方系统的插件化资产管理

一.     Axonius介绍

Axonius是一家做网络安全资产管理平台（cybersecurity asset management platform）的公司，该平台主要功能是对用户的设备进行管理，包括资产管理、应用管理和补丁管理等。该公司成立于2017年1月，并于2019年2月5日获得了1300万美元A轮融资。

二.     背景介绍

近几年，智能设备使我们的生活发生了翻天覆地的变化。物联网、BYOD和云等方面的结合更是改变了对访问的定义，并且消除了工作和家庭之间的界限。但智能设备的保护仍然是技术人员和安全团队应该关心的问题。攻击者通常会寻找那些没有安全机制防护，或未被有效管理的设备，入侵并横向移动。

可见，资产管理是安全团队需要首要解决的问题，他们需要知道哪些设备是正在被安全或IT系统管理的，但哪些未被有效管理。如果设备没有可视度（visibility），我们如何管理未知设备？

传统上，技术人员和安全团队必须知道7件事情才能制定可行的资产与补丁管理流程：

Ø  哪些设备连接到网络？

Ø  目前安装的是什么版本的软件应用程序？

Ø  存在哪些安全漏洞？

Ø  漏洞有多严重？

Ø  新版本可用吗？

Ø  升级的影响是什么？

Ø  升级的紧迫程度是什么？

回答上面的问题对于确定是否应该对设备打补丁都至关重要，而其中的有些问题也确实是一种挑战。

目前随着物联网和移动办公的发展，大量的手机、电脑以及智能设备进入了企业网络中，显然这么多的设备还是没办法统一进行管理。目前的方法大都是基于资产、身份、网络等信息管理设备，每个系统（如终端安全：EPP、EDR，网络安全：漏扫、NGFW，虚拟化平台）都有自己的资产管理功能，但由于限于某个细分领域故而资产库不全，彼此没有互动形成竖井（Silo），因而安全团队没有办法给出各个系统的资产之间的交叉联系，也无法整合这些系统的知识完善资产属性。Axonius的网络安全资产管理平台，为每个设备提供一个管理的页面，可通过使用适配器通过API与现有系统连接，为每个设备创建唯一标识和配置文件，最后可通过插件实现跨设备的动作执行。

三.     产品介绍

保护网络中的资产是否安全，第一步是了解网络中存在哪些设备，包括用户已知的设备和未知的设备。通过Axonius网络安全资产管理平台，使用者可只需从一个页面了解所有设备的情况，并且可以了解自己的设备是否安全。

l  多输入源融合的资产管理

Axonius将客户现有的管理和安全技术集成到资产安全管理中，对个人和企业用户的设备类型进行识别，自动检测新上线的设备，并且能对笔记本电脑、服务器和物联网设备等不同类型的设备进行区分。使用可扩展的插件架构，让用户能自己添加自定义的逻辑，如下图所示，用户可以获得所有设备的界面，并能使用设备的属性进行搜索查看设备的信息和状态。

图1   Axonius资产管理页面

需要说明的是Axonius通过插件化的方式与各种IT、安全和网络平台对接，获得其管理的各类资源，所以Axonius中的资产更为广义，例如可与VMware Vsphere对接，那么虚拟机镜像ova就是一个资产，同时，Axonius也能通过关联多个第三方系统，交叉验证并资产，例如VMware vsphere的虚拟机可与终端安全管理平台EPP的主机融合，保证资产属性的完整性和一致性。

l  补丁管理

补丁管理的核心是“知行合一”，就是将已知的漏洞的知识库，对应补丁打到每一个有漏洞的设备上。这就要求安全团队了解设备正在使用的软件的版本、漏洞以及不及时修复会带来的威胁。另一方面，在物联网设备较多的网络环境中，就需要一种新的方法来解决对未知设备的管理以及未知漏洞的发现。通过了解资产的具体版本、详细漏洞信息，Axonius可提供一套科学的补丁管理方案，来保护用户设备的安全性。

图2   补丁管理流程

l  动态设备发现和策略执行

Axonius通过适配器连接到客户环境中的设备和管理系统，插件就可以使用跨设备管理功能。Axonius拥有70多个安全集成和资产管理的解决方案，只需要通过兼容插件连接到用户资产的最新数据，可以是Windows、Mac、 Linux 系统，甚至是物联网设备的嵌入式系统。例如：插件可以连接到Windows服务器的目录服务，并不断查询创建的任何新建的组织单位。一旦确定了设备是什么，Axonius就可以配置适当的权限和策略，以确保设备对数据的安全访问，下图为策略管理页面。

图3   Axonius设备策略管理

四.     产品特点

l  完整的资产发现和管理

将多个第三方系统发现的资产进行融合，得到环境中完整、一致的资产数据库，向SOC提供完整的资产信息，这对安全运营是非常必要的。

此外，对第三方系统的资产列表做对比，可及时发现某个系统未关注或未管理（Unmanaged）的资产，向安全团队提供如终端防护率、扫描覆盖率和可管理设备的覆盖率的报告，提高整个环境中的资产可视度（visibility）。

同时也借助第三方系统的更新通知，可及时对资产变更进行相应的处置，调整访问策略。

l  可扩展的插件架构与统一视图管理

将客户现有的管理和安全技术集成到Axonius资产安全管理中，使用可扩展的插件架构，让用户能自己添加自定义的逻辑，并且用户可以获得所有设备的统一的界面——包括已知和未知的设备。

l  支持对物联网设备管理

随着IoT的发展，智能设备走入千家万户，所以设备的可见性和控制对于网络安全而言是一个新的挑战。一方面，面对成百上千的物联网设备，安全管理员很难知道我们的网络中存在哪些设备；另一方面，物联网设备的成本竞争还是非常激烈的，所以安全往往不是首要考虑的问题，Axonius管理平台同样可以发现、管理并防护没有安全防护的智能设备，并可以从一个页面了解所有设备的情况以及设备是否安全。

l  BYOD设备的可见性

虽然BYOD的模式方便了日常工作，但模糊了家庭和工作之间的界限。企业的员工拥有多设备，并且不断增加更多设备，这些设备是异构、复杂，且很多是非可管理的。Axonius管理平台可以告诉你这些设备何时连接和访问资源，尤其是当这些设备不做任何的安全防护时，Axonius管理平台的价值更为显著。

图4   Axonius可集成的安全方案

五.     解读

IT环境的可视度始终是安全运营的第一步，其最大的价值是作为其他安全管理的基础。并且伴随着近些年物联网设备数量的剧增，资产管理问题也越来越复杂。Axonius的网络安全资产管理平台可通过整合客户现有的管理和安全技术，并使用可扩展的插件框架，让安全团队可以添加自定义的组件，获得网络中完整、一致的资产清单。对现有安全管理平台的整合确实是一种资产管理的解决思路，但如果企业中的管理及安全技术不能被Axonius集成，或是在网络复杂且此前没有对资产进行管理的企业中，Axonius的如何对资产进行管理呢？所以笔者认为资产管理单做集成是不够的，还需要建立多场景下的资产识别管理模型，从更底层做起，减少对环境的依赖，或者添加采集控制节点形成闭环，不然Axonius的独立发展空间还是十分有限。此外仅从官网资料看，Axonius的资产管理、补丁管理、对各个平台兼容等功能，并不是颠覆性的创新，国内已经有一些安全公司在这些方面都做的比较好了，从技术实现上来看，只是可视化和API的编写集成，不具有一定技术壁垒，很容易其他的资产安全管理平台公司复制并超越，也可能是Axonius面临的问题。

Axonius官网多个模块出现诸如物联网、EDR、DevOps、零信任等现在热度很高的名词，但并没有他们产品与这些领域结合的详细的资料，给人一种团队的产品营销超于技术的感觉。笔者本想去试用下这款产品，给出更客观的评价，但很遗憾，他们的业务人员回复目前还没有对中国市场进行覆盖。综上所述，只是笔者基于可获得Axonius资料的一点拙见，仅供参考，还是很期待Axonius在RSA展示讲解中，可以给我们带来不一样的东西。