向疫情防控学资产应急

疫情突如其来，越来越深刻的影响着我们的工作和生活。疫情本身就是对国家、城市卫生系统响应能力的考验，所以应对突发疫情，需要越来越迅速和精准的响应，这对网络空间资产安全应急来说，具有极大的借鉴意义。

以最近北京出现此次疫情应对来说，基本涵盖了整个应急的全过程，每一个步骤都值得借鉴：

事件应对，控制事态

突发事件应对第一步，需要迅速控制事态。疫情突发，第一步是确诊者治疗，密接者确认隔离，确诊者行程确认，都是为了控制疫情发展，在确认源头之前，最大程度降低已确认者造成的影响。对于网络空间资产应急来说，第一步，就是明确安全事件涉及的资产信息，及关联资产信息，对安全事件进行处置，将影响降至最低。

以服务器被植入挖矿程序为例，第一步需要关闭恶意进程，防火墙设置服务器IP禁止对外通信，降低事件对整个网络带来的影响。在此过程中，需要注意的一点是对相关处置的记录留存，以便后续进行全面处置和溯源分析。

所有控制事态影响的手段，都必须基于对于资产信息的全面了解基础之上，所以通过ZoomEye BE的精准探测，对资产数据及关联情况有详细的了解至关重要。

交叉认证，寻找漏洞

单一安全事件溯源找到防控漏洞非常困难，但是通过交叉认证，就容易很多。此次疫情源头确认，即是第一例本土患者与第二、三例行动轨迹的交叉认证得出的。可见当遇到未知的安全事件时，对受影响的资产群进行特征的提取，也就是确定受影响资产特征非常重要。

同时，还可以通过对特征进行多维认证来最终确认，此时漏洞情报就是非常重要的信息，因为漏洞是整个安全行业关注的重点，攻击者往往利用漏洞发动攻击。通过受影响资产特征和漏洞影响资产特征交叉认证，更容易确定引起安全事件的漏洞。

ZoomEye BE会向企业用户发送漏洞情报，企业用户可以根据漏洞影响组件和安全事件中受影响资产进行印证，从而确认漏洞，并获知更加详细的漏洞信息。

确定特征，定位资产

从环境样本中确认源头为新发地后，防控工作从时间和空间两个方面展开，即确定可能存在感染风险的时间和空间，进行大范围的人员定位。相对应的，资产安全应急也是从资产特征开始，漏洞情报中会提供资产组件信息，依据此特征可以对所有资产进行定位。

疫情防控工作在社区和工作区两个维度都进行了覆盖，同样资产筛选需要做到尽全尽细，也就是最大范围定位可能受到影响的资产。虽然此时定位的资产，不一定真正受到漏洞的影响，但是存在被影响的风险，所以需要全面的发现，而全面的发现又要基于详细且真实的资产信息。

虚实兼顾，确定影响

划定人群后，即需开展核酸检测，也就是在可能被感染的人群中，确定哪些确实已经发生感染，哪些并未发生感染。就如同受到漏洞影响的资产一样，虽然存在受影响组件，但可能因为受影响版本不对应、已经进行漏洞修复等原因，实际上并没有真正受到漏洞影响。所以必须兼顾可能受影响和实际受影响的资产，进行全面的漏洞验证。ZoomEye BE可以实现在漏洞细节披露后48小时内集成漏洞检测插件，并迅速筛选出真正受到影响的资产，以供后续处置。

精准处置，循环验证

对真正感染的确诊者进行及时治疗，并对其密切接者进行隔离检测，对其行为轨迹进行调查公布等，是对疫情防控的具体处置，此时的处置是针对已经大范围确认后的真实感染者，是精准的处置。对于漏洞引发的安全事件也一样，确定实际受影响资产后，就要着手对资产进行漏洞修复和对防护手段进行加强，并通过ZoomEye BE的检测功能对修复效果进行循环验证，直至完全消除漏洞影响，完成整个应急过程。

目前国家已经确定疫情防控成为常态，那么对于时刻不能放松的网络空间资产安全来说，也还有更多的细节可供参考：

日常管理不能少

受疫情影响，大家越来越关注自身健康，人员密集场所佩戴口罩，勤洗手，保持安全距离等防疫要点对人们的生活影响巨大。对于资产安全管理来说，日常的管理也非常重要，对资产进行全面发现，以掌握全面资产状况；对资产进行周期探测，以掌握资产实时状况。对资产高危端口、组件等随时关注，进行处置，避免潜在威胁，都是应急得以快速实现的重要基础工作。

安全意识要提高

疫情在各地出现反复，无疑暴露了方方面面的防控漏洞，其实漏洞不可怕，每一次出现，都是对我们防范意识的提醒。对于安全来说，更是如此，平静的安全状态容易让人麻痹和懈怠，不断提高安全意识，反思日常工作中关系资产安全的种种细节和可能出现漏洞的操作环节，加以演练和确认，会使得整个安全体系更加完善和坚固。

防控态势要直观

防控态势包含人员、管控手段、综合风险各个方面，综合各方面因素对区域进行定级非常重要，正如网络空间资产的综合安全态势呈现需要既关联各维度信息又要直观可读。ZoomEye BE地图展示模块可以基于地理位置信息对资产进行多维信息关联分析，统一呈现资产安全态势。

2020年，整个世界都面临着疫情、事故、自然灾害等众多的未知事件，每一件都考验着国家、政府和人民的经验积累和紧急应变。网络空间资产安全同样会面临众多的紧急安全事件，需要我们长存敬畏之心，紧跟技术与时代发展，完善自身的能力并积累丰富的经验。愿疫情散去国人平安，网络空间资产安全。