甲方观点:资产管理中的“柳暗花明”和“鲜花盛开”在敞口端一切对与错都是相对而言的,所谓盛与衰,盛与不盛。有时一个事件的逻辑看似单一,但实际上会在多个维度上通向同一个目标。互联网暴露面上的日常攻防也是如此。只有置身其中的人,才能看到这妙门。随着中国经济的崛起,中国互联网行业迎来了最好的机遇。经过二十多年的快速发展,已经深入和改变了社会生活的方方面面,如:在线办公系统、视频会议系统、电话语音系统、互动系统和门户系统等大大提高了企事业单位的办公效率。但与此同时,不断加大的信息系统建设投入导致企业IT资产数量快速增加,网络规模呈爆发式扩张。俗话说树大招风,大量的IT资产和庞大的网络规模给企业资产管理带来了巨大挑战,也给信息系统安全带来了严重威胁。网络安全威胁加剧已成为国家安全面临的新挑战,关键信息基础设施随时可能受到来自外部网络的各种安全威胁。在国家层面,通过《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求》等法律法规的制定,在法律上明确了关键基础设施信息安全的重要性和紧迫性以及参建单位需要承担的重要责任和法律义务等级。在关键基础设施的信息安全中,精准的资产管控是网络安全精细化管理的基础,而互联网暴露资产的网络安全管理则是重中之重。目前,仍有大量企业采用人工录入或半本地化管理系统对暴露于互联网的IT资产进行管理和维护。及时发现私自改变设备用途、私自部署软件、私自开放公网接口等问题。因此,只有建立有效的资产管控秩序,掌握完整、动态更新的资产档案信息,关键基础设施责任相关企业才能更有效地进行风险识别、风险分析和风险处置。另一方面,对拥有海量互联网暴露IT资产的企业进行漏洞风险检测也是一个巨大的挑战。如何在短时间内对暴露在互联网中的IT资产进行快速、准确的漏洞风险排查,将漏洞风险的影响窗口降至最低,成为摆在企业网络安全管理者面前的一大挑战。因此,互联网暴露面资产远程检测技术有助于通过远程扫描技术促进IT资产检测,建立完整、及时的企业互联网暴露面IT资产信息库和风险库,提高运营商在网络上的安全风险。暴露面资产。控制的程度是很有价值的。1、三大疑惑互联网曝光资产直接面临外部攻击者的威胁。与企业内部资产相比,面临的安全风险更高。如何快速、准确地掌握互联网资产的变化,高效感知资产的安全状态,成为互联网资产安全管理的重要工作内容。现阶段常见的三个困惑:如何准确检测出暴露的资产上有什么?如何准确识别暴露资产的特征指纹?如何及时发现存在漏洞的暴露资产?互联网暴露资产有一定的共性:接入互联网,遵循并实现TCP/IP协议栈。但是,不同的厂商、不同的平台,在基于同一标准的实现过程中或多或少存在差异。这为我们识别资产类型提供了可能。我们将这些差异称为不同厂商、不同平台、不同类型、不同版本资产的指纹信息。通过积累指纹信息,逐渐形成“指纹库”。基于这些指纹信息,我们可以识别资产的“制造商”、“操作系统”、“操作系统版本”、“资产监控服务类型及其版本”。在《GBT 20984-2007 信息安全技术信息安全风险评估规范》中,资产被定义为“对组织有价值并受到安全策略保护的信息或资源”,所以暴露的资产本质上是信息和资源,它不仅包括作为固定资产的主机和服务器,还包括IP资源,以及运行在主机和服务器上的Web服务、文件服务器、OA系统、ERP系统、CRM系统等。面对暴露资产的特殊性,管理层关注的不仅仅是资产的权属和经营状况,还包括暴露资产的安全、资产变动、资产经营状况等方面所关注的风险。基于我们获得的操作系统信息、服务及其版本信息、服务使用框架信息(如Java、Struts),通过应用软件产品类型、版本或OVAL特性适配,判断资产是否存在。漏洞。2.暴露面资产治理思路:对症下药在新的网络安全形势下,现有的暴露面资产安全监控和防护手段存在很大的不足和滞后,缺乏高效准确的技术手段来对症下药。了解这些系统组件、服务和对设备开放的端口,这样当出现严重的漏洞时,不知道是否受到影响,也不知道影响的程度。(1)暴露面资产发现与识别解决方案通过暴露面资产发现与识别,用户可以检测暴露面资产的各种操作系统、应用服务、工业控制设备、物联网设备、移动设备,并一览无余设备的整体情况。对于每一种类型、每台设备,用户都可以从地理位置、网络层服务和应用层系统的对应关系中,一目了然地掌握设备的社交信息和基本相关信息。暴露面资产发现与识别可由以下五个模块组成:暴露面资产发现调度中心、暴露面资产发现采集中心、暴露面资产发现与分析中心、暴露面资产IP/端口自学习、暴露面资产表面资产IP指纹爬取引擎。暴露面资产发现与识别业务实现流程如图1所示:图1暴露面资产发现与识别业务流程速度比传统端口扫描器快很多;采用有针对性的轻量级检测策略对资产进行扫描检测,如同正常的网络访问一样,不影响正常的业务运行。此外,通过拆分扫描和检测任务,在资产发现和扫描时,将扫描IP列表、端口检测等拆分开来,打乱扫描顺序,并设置不确定的时间间隔进行扫描。完成后重新组装,以免被扫描设备的安全防御机制拦截。传统端口扫描器对防火墙开放的端口存在大量误报,但可以通过技术手段解决误报问题,提高资产检测结果的准确性:分片:对可疑检测包进行分片处理。一些简单的防火墙可能会避免重组检查以加快该过程。IP欺骗:在扫描时,将真实IP地址与其他主机的IP地址混在一起,使目标主机的防火墙或IDS可以跟踪检查大量不同IP地址的数据包,降低被识破的概率追溯到自身。请注意,一些高级IDS系统仍然可以通过统计分析来追踪扫描器的真实IP地址。IP欺骗:将自己发送的数据包中的IP地址伪装成其他主机的地址,使目标机器认为有其他主机在与之通信。需要注意的是,如果要接收目标主机的回复包,伪装IP需要位于统一局域网内。另外,如果你想隐藏自己的IP地址,接收目标主机的回复包,可以尝试使用空闲扫描或匿名代理(如TOR)等网络技术。扫描延迟:有些防火墙会对过于频繁发送的数据包进行严格检测,有些系统会限制错误消息的频率,所以自定义发送数据包的频率和延迟在这种情况下可以降低Censorship强度,节省网络带宽。扫描发送数据包的计算:远程资产发现设备还提供了多种规避技术,例如指定某个网络接口发送数据包,指定发送数据包的最小长度,指定发送数据包的MTU,指定TTL,指定伪装的MAC地址,并使用错误检查。(2)暴露地表资产漏洞检测方案a.漏洞威胁预警漏洞威胁预警是指通过各种渠道披露的常见漏洞。攻击者通常利用这些漏洞快速开发自动化攻击工具。资产被攻击,导致企业暴露面的资产损失。企业没有及时获取这些漏洞的信息,所以即使官方针对这些漏洞发布了补丁,也未能及时修复系统。为解决企业无法及时获取漏洞情报信息的问题,漏洞情报共享平台提供的漏洞情报信息可适配被暴露面资产应用软件的产品类型、版本或OVAL特性,暴露的表面可以立即获知资产漏洞威胁警告。b.漏洞检测除了漏洞情报共享平台具备上报漏洞威胁情报的能力外,还需要开发无损的漏洞检测程序,完成资产风险扫描和评估。暴露面资产漏洞检测流程如图2所示:图2暴露面资产漏洞检测流程对所有暴露面资产进行有针对性的漏洞检测,可以在最快的时间内定位漏洞,让管理者能够更有针对性持续进行漏洞修复作业。通过暴露面资产漏洞检索方案,在第一时间检测出所有可能受已知或未知漏洞影响的资源范围、受影响资源的分布、受影响的关键特征,从而及时掌握攻防态势完全在控制之中。同时提供详尽的报表和资产漏洞数据支持,足以支撑企业的资产相关决策。3.总结:风险导向,态势感知互联网暴露资产的安全是网络安全管理的重中之重。各大企业都在其中投入了大量的技术和管理支持,而远程检测技术成为其中最重要的。核心技术要求之一。然而,随着业务和技术的不断演进和发展,企业需要为用户提供更丰富的业务能力和更好的用户体验,这也使得互联网暴露资产的安全风险更加严峻,企业责任也更加严峻。因此,企业互联网暴露资产的远程检测技术仍将是最值得关注和研究的技术领域。随着网络的发展,越来越多的高级网络攻击威胁着网络与信息安全,攻击行为也逐渐变得难以捕捉。为了应对日益严峻的安全攻势,有必要引入基于资产的安全威胁情报。叠加风险、能力、事件等安全信息,逐步形成安全态势感知能力,能够及时准确地有效发现未知安全事件。【本文为专栏作家“安牛”原创文章,转载请通过安牛(微信公众号id:gooann-sectv)获得授权】点此阅读作者更多好文
