Трендовые github проекты в нашем телеграм канале. Подпишись → SOAR, VM и CMDB: Инвентаризация IT-активов как фундамент безопасности
Инвентаризация часто воспринимается как скучная административная задача: список серверов, сервисов, учётных записей, приложений и владельцев. Но для безопасности это не рутина, а базовый слой. Нельзя защитить систему, о существовании которой никто не знает. Нельзя закрыть уязвимость на сервере, который не привязан к владельцу. Нельзя корректно отреагировать на инцидент, если непонятно, какую роль играет актив.
Современные security-инструменты зависят не только от своих алгоритмов, но и от качества данных об инфраструктуре. Особенно хорошо это видно в SOAR, VM и CMDB, где без актуального инвентаря автоматизация быстро теряет смысл.
Почему список активов важнее красивого dashboard
Security dashboard может показывать сотни событий, но без контекста они мало полезны. Один и тот же alert имеет разный приоритет в зависимости от того, где он возник:
- production или test;
- internet-facing или внутренний сегмент;
- критичный бизнес-сервис или временная песочница;
- есть персональные данные или нет;
- есть владелец и SLA или актив бесхозный.
Эту информацию даёт инвентаризация. Если её нет, SOAR и vulnerability management вынуждены угадывать.
Связь с VM
Vulnerability Management зависит от актуальной карты активов. Сканер может найти CVE, но дальше нужны ответы:
- какой сервис затронут;
- кто владелец;
- где окружение;
- есть ли внешний доступ;
- насколько критична система;
- какие compensating controls уже есть;
- когда актив последний раз подтверждался.
Без этих данных severity из CVSS превращается в грубую подсказку. Реальный риск зависит от контекста. Уязвимость на публичном API и такая же уязвимость на изолированном тестовом стенде — разные задачи.
Связь с SOAR
SOAR автоматизирует реакции: обогащает события, создаёт задачи, запускает playbook, уведомляет команды. Но автоматизация безопасна только тогда, когда данные точные.
Если актив неправильно классифицирован, playbook может:
- отправить alert не той команде;
- применить неверный сценарий реагирования;
- пропустить критичный сервис;
- создать лишние задачи;
- неверно оценить impact.
Качественная инвентаризация позволяет SOAR принимать более точные решения: подтягивать владельца, окружение, критичность, связи с другими сервисами и историю изменений.
CMDB без актуальности бесполезна
CMDB часто страдает от главной проблемы: она есть, но ей не верят. Если записи устарели, инженеры начинают держать актуальную информацию в чатах, wiki, Terraform state, Kubernetes labels и личных заметках.
Современный подход — не ручное заполнение гигантской таблицы, а автоматизированный сбор из источников:
- cloud APIs;
- Kubernetes clusters;
- CI/CD;
- Git repositories;
- endpoint management;
- network scanners;
- Terraform/Pulumi state;
- service catalog;
- monitoring.
CMDB должна быть не архивом, а живым слоем, который регулярно сверяется с реальностью.
Какие поля нужны активу
Минимальная карточка актива должна отвечать на практические вопросы:
- что это за актив;
- где он находится;
- кто владелец;
- какой сервис обслуживает;
- production или нет;
- есть ли внешний доступ;
- какие данные обрабатывает;
- какие зависимости имеет;
- когда последний раз подтверждён;
- каким способом обнаружен.
Для homelab часть полей можно упростить, но идея та же. Даже дома полезно понимать, какие сервисы опубликованы наружу, где хранятся секреты и какие контейнеры давно не обновлялись.
Проблема бесхозных активов
Один из главных результатов инвентаризации — выявление orphaned assets. Это серверы, базы, buckets, домены, токены и сервисы, у которых нет понятного владельца.
Бесхозный актив опасен потому, что:
- его никто не обновляет;
- alerts игнорируются;
- доступы не пересматриваются;
- уязвимости не закрываются;
- он может остаться после старого проекта.
Регулярный поиск таких активов часто даёт быстрый security-эффект без сложных внедрений.
Как внедрять
Начинать лучше с одного источника правды и автоматического discovery. Например, собрать список репозиториев, Kubernetes workloads, доменов и cloud-ресурсов. Затем связать их с владельцами и критичностью.
Дальше можно добавлять интеграции:
- сканер уязвимостей обогащает findings данными из инвентаря;
- SOAR использует владельца и окружение для маршрутизации;
- CMDB показывает зависимости;
- monitoring добавляет runtime-сигналы;
- CI/CD обновляет информацию о сервисах при деплое.
Итог
Инвентаризация — это фундамент, на котором держатся VM, SOAR, CMDB и incident response. Без актуальной карты активов security-команда работает вслепую: видит события, но не понимает контекст.
Хорошая инвентаризация не обязана быть огромным enterprise-проектом. Она должна быть автоматизированной, актуальной и полезной для решений: кому назначить задачу, какой риск у уязвимости, какой playbook запускать и что действительно важно защитить первым.