四野档案
古有智者云:“万物莫不相对,万物莫不相异”,同与异其实是对⽴⾯的统⼀,凡事并没有绝对的标准,⼀切的是⾮对错皆是相对⽽⾔,所谓盛极⽽衰、否极泰来。有时事件的逻辑看似⾛向单⼀,实则会在多个维度殊途同归。互联⽹暴露⾯上的⽇常攻防,也正是如此。⾝处其中之⼈,才可窥见妙门。
树⼤招风
随着中国经济的崛起,中国互联⽹⾏业迎来了最好的机遇,经过⼆⼗年的⾼速发展已经深⼊并改变社会⽣活的各个⽅⾯,如:⽹上办公系统、视频会议系统、电话语⾳系统、互动式系统、门户型系统等极⼤地提⾼了企事业单位的办公效率。但同时,不断加⼤的信息系统建设投⼊使得企业中的IT资产数量迅速增加,⽹络规模爆炸式扩张。正所谓树⼤招风,数量众多的IT资产和庞⼤的⽹络规模,给企业资产管理⼯作带来了巨⼤挑战,也给信息系统安全带来了严重威胁。 愈演愈烈的⽹络安全威胁已经成为国家安全的新挑战,关键信息基础设施可能时时刻刻受到来⾃外界⽹络的各种安全威胁。国家层⾯,通过制定《中华⼈民共和国⽹络安全法》、《信息安全技术⽹络安全等级保护基本要求》等法律法规,在法律层⾯明确了关键基础设施信息安全的重要性、紧迫性以及建设参与单位需要承担的重要责任和法律义务。⽽在关键基础设施信息安全中,精准的资产管控是⽹络安全精细化管理的基础,互联⽹暴露⾯资产的⽹络安全管理⼜是重中之重。
⽬前,仍有⼤量企业采⽤⼈⼯录⼊的⽅式或者使⽤半本地化管理系统对互联⽹暴露⾯IT资产进⾏管理维护,缺乏主动发现新接⼊IT资产的技术⼿段,⽆法通过技术⼿段进⾏核查和管理,⽆法及时发现私⾃变更设备⽤途、私⾃部署软件、私开公⽹接⼝等问题。因此关键基础设施责任相关企业只有通过建⽴有效的资产管控秩序,掌握完整、动态更新的资产档案信息,才能更有效的开展风险识别、风险分析和风险处置⼯作。
余姚
另⼀⽅⾯,针对拥有海量互联⽹暴露⾯IT资产的企业,开展漏洞风险检测⼯作也是⼀项巨⼤挑战。如何能够在短时间内对互联⽹暴露⾯的IT资产进⾏快速且准确的漏洞风险排查,最⼤限度的缩减漏洞风险影响窗⼝期,也成为了企业⽹络安全管理⼈员⾯临的⼀⼤挑战课题。因此,互联⽹暴露⾯资产远程检测技术,对于推进通过远程扫描技术对IT资产进⾏检测,建⽴完整且及时的企业互联⽹暴露⾯IT资产信息库、风险库,提升各运营商对在暴露⾯资产安全风险的掌控⼒度具有重要价值。 cze
1、三⼤困惑
互联⽹暴露⾯资产直接⾯向外部攻击者的威胁。相对于企业内部资产,所⾯临的安全风险更⾼。如何快速、准确的掌握互联⽹资产变化情况,⾼效的感知资产安全状态成为了互联⽹资产安全管理⼯作的重要⼯作内容。
现阶段
三⼤常见困惑
1. 如何准确的探知暴露⾯资产上有些什么?
2. 如何精准的识别暴露⾯资产特征指纹?
3. 如何及时的检测存在漏洞的暴露⾯资产?
互联⽹暴露⾯资产存在⼀定的共性:已接⼊互联⽹,遵循并实现了TCP/IP协议栈。但是不同⼚商、不同的平台在基于相同标准实现过程中,存在或多或少的差异。这就为我们进⾏资产类型识别提供了可能。我们将这些差异,称为不同⼚商、不同平台、不同类型、不同版本资产的指纹信息。通过积累指纹信息,逐步形成“指纹库”,基于这些指纹信息,我们就可以识别资产的“⼚商”、“操作系统”、“操作系统版本”、“资产监听服务类型及其版本”。
《GBT 20984-2007 信息安全技术信息安全风险评估规范》中,对于资产的定义为“对组织有价值的信息或资源,是安全策略保护的对象”,所以暴露⾯资产的本质是信息和资源,它不仅仅包含作为固定资产的主机与服务器,还包括IP资源,以及运⾏于主机与服务器上的Web服务、⽂件服务器、OA系统,ERP系统、CRM系统等。
口袋罪
⾯对暴露⾯资产的特殊性,其管理关注的也不仅仅限于资产的归属、运⾏状况,还包含了暴露⾯资产安全关注的风险、资产的变更情况以及资产的运⾏状况。基于我们已经获取到的操作系统信息、服务及其版本信息、服务使⽤框架信息
人因资产的变更情况以及资产的运⾏状况。基于我们已经获取到的操作系统信息、服务及其版本信息、服务使⽤框架信息(如:Java、Struts),通过应⽤软件产品类型、版本或者OVAL特征适配,我们就可以判断该资产上是否存在漏洞。
2、暴露⾯资产治理思路:对症下药
在新的⽹络安全形势下,已有的针对暴露⾯资产的安全监控及防护⼿段,存在着极⼤的不⾜和滞后性,缺少⾼效精准的技术⼿段了解这些系统和设备开放的组件、服务和端⼝情况,以⾄于在出现严重漏洞时既不知道是否受影响,也不知道影响范围程度。
2.1 、暴露⾯资产发现与识别⽅案
通过暴露⾯资产发现与识别,⽤户可探测暴露⾯资产各操作系统、应⽤服务、⼯控设备、物联⽹设备以及移动设备等,设备整体情况尽收眼底。对于每类、每个设备,⽤户可从地理位置、⽹络层服务和应⽤层系统的对应关系⼀⽬了然地掌握设备的社会信息和基础关联信息。
暴露⾯资产发现与识别可以由以下五个模块组成:暴露⾯资产发现调度中⼼、暴露⾯资产发现采集中⼼、暴露⾯资产发现分析中⼼、暴露⾯资产IP/端⼝⾃学习、暴露⾯资产IP指纹爬取引擎。暴露⾯资产发现与识别的业务实现流程如图1所⽰:
图1 暴露⾯资产发现与识别的业务流程
暴露⾯资产扫描技术特点采⽤异步⽆状态扫描技术,可快速获取到暴露⾯存活资产,扫描速度远超过传统端⼝扫描器;对扫描探测资产采⽤针对性的轻量级探测策略,如同正常⽹络访问,不影响正常业务运⾏。另外,通过对扫描探测任务进⾏拆分,在资产发现⾏扫描时,将扫描IP列表、端⼝探测等拆分,打乱顺序扫描,设定不确定的间隔进⾏扫描,完成后重新组合,避免被扫描设备的安全防御机制所阻断。传统的端⼝扫描器对防⽕墙开放端⼝存在⼤量的误报,但是可以通过技术⼿段解决误报问题,提⾼资产探测结果准确性:
分⽚:将可疑的探测包进⾏分⽚处理。某些简单的防⽕墙为了加快处理速度可能不会进⾏重组检查,以此避开其检查。
IP诱骗:在进⾏扫描时,将真实IP地址和其他主机的IP地址混合使⽤,以此让⽬标主机的防⽕墙或IDS追踪检查⼤量的不同IP地址的数据包,降低其追查到⾃⾝的概率。注意,某些⾼级的IDS系统通过统计分析仍然可以追踪出扫描者真实IP地址。
IP伪装:将⾃⼰发送的数据包中的IP地址伪装成其他主机的地址,从⽽⽬标机认为是其他主机在与之通信。需要注意,如果希望接收到⽬标主机的回复包,那么伪装的IP需要位于统⼀局域⽹内。另外,如果既希望隐蔽⾃⼰的IP地址,⼜希望收到⽬标主机的回复包,那么可以尝试使⽤idle scan或匿名代理(如TOR)等⽹络技术。
扫描延时:某些防⽕墙针对发送过于频繁的数据包会进⾏严格的侦查,⽽且某些系统限制错误报⽂产⽣的频率,所以,定制该情况下发包的频率和发包延时可以降低⽬标主机的审查强度、节省⽹络带宽。
定制该情况下发包的频率和发包延时可以降低⽬标主机的审查强度、节省⽹络带宽。
扫描发包计算:远程资产发现设备还提供多种规避技巧,⽐如指定使⽤某个⽹络接⼝来发送数据包、指定发送包的最⼩长度、指定发包的MTU、指定TTL、指定伪装的MAC地址、使⽤错误检查。
2.2 、暴露⾯资产漏洞检测⽅案
2.2.1 漏洞威胁预警
漏洞威胁预警指已经通过各种途径被披露的通⽤漏洞,攻击者通常会利⽤这些漏洞,快速研发⾃动化攻击⼯具,对存在这些漏洞的暴露⾯资产进⾏攻击,⽽造成企业暴露⾯资产损失。企业获取这些漏洞信息并不及时,所以即使官⽅已经针对这些漏洞发布漏洞补丁,也未能及时对系统进⾏修复。
为及时解决企业在漏洞情报信息获取不及时⽅⾯的缺失,可以通过漏洞情报共享平台提供的漏洞情报信息,与暴露⾯资产应⽤软件产品类型、版本或者OVAL特征适配,第⼀时间内获知暴露⾯资产漏洞威胁预警。
2.2.2 漏洞检测
冯顺桥
在具备漏洞情报共享平台通报漏洞威胁情报的能⼒之外,应进⾏⽆损漏洞检测程序的开发,完成对资产风险扫描和评估。暴露⾯资产漏洞检测流程如图2所⽰:
图2 暴露⾯资产漏洞检测流程
在全量暴露⾯资产中进⾏针对性的漏洞检测,可以在最快的时间进⾏漏洞定位,以便管理⼈员可以更有针对性的进⾏漏洞的修复操作。通过暴露⾯资产漏洞检索⽅案,第⼀时间检测出全部资源可能遭受某种已知或未知漏洞影响的范围,受影响资源的分布以及受影响的关键特征等,攻防局势尽在掌握。同时提供详细的报表报告,资产漏洞数据⽀持,⾜以⽀撑企业的资产相关决策。
3、⼩结:风险导向,态势感知
互联⽹暴露⾯资产的安全是⽹络安全管理⼯作中的重中之重,各⼤型企业都对其投⼊了巨⼤的技术和管理⽀撑,远程检测技术也成为了其中最为核⼼的技术要求能⼒之⼀。但随着业务和技术的不断演进发展,企业需要向⽤户提供更加丰富的业务能⼒、更加优质的⽤户体验,这同时也使得互联⽹暴露⾯资产的安全风险更加严峻,企业责任更加重⼤。因此,企业互联⽹暴露⾯资产的远程检测技术仍将是最值得关注和研究的重要技术领域。
企业互联⽹暴露⾯资产的远程检测技术仍将是最值得关注和研究的重要技术领域。
⽹络发展的同时也伴随着更多更⾼级的⽹络攻击在威胁着⽹络和信息安全,攻击⾏为逐渐变得更加难以捕获,为了应对⽇益严峻的安全攻势,需要以资产为基础,引⼊安全威胁情报,叠加风险、能⼒、事件等安全信息,逐步形成安全态势感知能⼒,能够有效的对未知安全事件进⾏及时和准确地发现。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议