甲方觀點:暴露面資產管理的“柳暗“與”花明”
古有智者云:“萬物莫不相對,萬物莫不相異”,同與異其實是對立面的統一,凡事并沒有絕對的標準,一切的是非對錯皆是相對而言,所謂盛極而衰、否極泰來。有時事件的邏輯看似走向單一,實則會在多個維度殊途同歸。互聯網暴露面上的日常攻防,也正是如此。身處其中之人,才可窺見妙門。
樹大招風
隨著中國經濟的崛起,中國互聯網行業迎來了最好的機遇,經過二十年的高速發展已經深入并改變社會生活的各個方面,如:網上辦公系統、視頻會議系統、電話語音系統、互動式系統、門戶型系統等極大地提高了企事業單位的辦公效率。但同時,不斷加大的信息系統建設投入使得企業中的IT資產數量迅速增加,網絡規模爆炸式擴張。正所謂樹大招風,數量眾多的IT資產和龐大的網絡規模,給企業資產管理工作帶來了巨大挑戰,也給信息系統安全帶來了嚴重威脅。
愈演愈烈的網絡安全威脅已經成為國家安全的新挑戰,關鍵信息基礎設施可能時時刻刻受到來自外界網絡的各種安全威脅。國家層面,通過制定《中華人民共和國網絡安全法》、《信息安全技術網絡安全等級保護基本要求》等法律法規,在法律層面明確了關鍵基礎設施信息安全的重要性、緊迫性以及建設參與單位需要承擔的重要責任和法律義務。而在關鍵基礎設施信息安全中,精準的資產管控是網絡安全精細化管理的基礎,互聯網暴露面資產的網絡安全管理又是重中之重。
目前,仍有大量企業采用人工錄入的方式或者使用半本地化管理系統對互聯網暴露面IT資產進行管理維護,缺乏主動發現新接入IT資產的技術手段,無法通過技術手段進行核查和管理,無法及時發現私自變更設備用途、私自部署軟件、私開公網接口等問題。因此關鍵基礎設施責任相關企業只有通過建立有效的資產管控秩序,掌握完整、動態更新的資產檔案信息,才能更有效的開展風險識別、風險分析和風險處置工作。
另一方面,針對擁有海量互聯網暴露面IT資產的企業,開展漏洞風險檢測工作也是一項巨大挑戰。如何能夠在短時間內對互聯網暴露面的IT資產進行快速且準確的漏洞風險排查,最大限度的縮減漏洞風險影響窗口期,也成為了企業網絡安全管理人員面臨的一大挑戰課題。因此,互聯網暴露面資產遠程檢測技術,對于推進通過遠程掃描技術對IT資產進行檢測,建立完整且及時的企業互聯網暴露面IT資產信息庫、風險庫,提升各運營商對在暴露面資產安全風險的掌控力度具有重要價值。
1. 三大困惑
互聯網暴露面資產直接面向外部攻擊者的威脅。相對于企業內部資產,所面臨的安全風險更高。如何快速、準確的掌握互聯網資產變化情況,高效的感知資產安全狀態成為了互聯網資產安全管理工作的重要工作內容。
現階段三大常見困惑:
- 如何準確的探知暴露面資產上有些什么?
- 如何精準的識別暴露面資產特征指紋?
- 如何及時的檢測存在漏洞的暴露面資產?
互聯網暴露面資產存在一定的共性:已接入互聯網,遵循并實現了TCP/IP協議棧。但是不同廠商、不同的平臺在基于相同標準實現過程中,存在或多或少的差異。這就為我們進行資產類型識別提供了可能。我們將這些差異,稱為不同廠商、不同平臺、不同類型、不同版本資產的指紋信息。通過積累指紋信息,逐步形成“指紋庫”,基于這些指紋信息,我們就可以識別資產的“廠商”、“操作系統”、“操作系統版本”、“資產監聽服務類型及其版本”。
《GBT 20984-2007 信息安全技術信息安全風險評估規范》中,對于資產的定義為“對組織有價值的信息或資源,是安全策略保護的對象”,所以暴露面資產的本質是信息和資源,它不僅僅包含作為固定資產的主機與服務器,還包括IP資源,以及運行于主機與服務器上的Web服務、文件服務器、OA系統,ERP系統、CRM系統等。
面對暴露面資產的特殊性,其管理關注的也不僅僅限于資產的歸屬、運行狀況,還包含了暴露面資產安全關注的風險、資產的變更情況以及資產的運行狀況。基于我們已經獲取到的操作系統信息、服務及其版本信息、服務使用框架信息(如:Java、Struts),通過應用軟件產品類型、版本或者OVAL特征適配,我們就可以判斷該資產上是否存在漏洞。
2. 暴露面資產治理思路:對癥下藥
在新的網絡安全形勢下,已有的針對暴露面資產的安全監控及防護手段,存在著極大的不足和滯后性,缺少高效精準的技術手段了解這些系統和設備開放的組件、服務和端口情況,以至于在出現嚴重漏洞時既不知道是否受影響,也不知道影響范圍程度。
(1) 暴露面資產發現與識別方案
通過暴露面資產發現與識別,用戶可探測暴露面資產各操作系統、應用服務、工控設備、物聯網設備以及移動設備等,設備整體情況盡收眼底。對于每類、每個設備,用戶可從地理位置、網絡層服務和應用層系統的對應關系一目了然地掌握設備的社會信息和基礎關聯信息。
暴露面資產發現與識別可以由以下五個模塊組成:暴露面資產發現調度中心、暴露面資產發現采集中心、暴露面資產發現分析中心、暴露面資產IP/端口自學習、暴露面資產IP指紋爬取引擎。暴露面資產發現與識別的業務實現流程如圖1所示:
圖1 暴露面資產發現與識別的業務流程
暴露面資產掃描技術特點采用異步無狀態掃描技術,可快速獲取到暴露面存活資產,掃描速度遠超過傳統端口掃描器;對掃描探測資產采用針對性的輕量級探測策略,如同正常網絡訪問,不影響正常業務運行。另外,通過對掃描探測任務進行拆分,在資產發現行掃描時,將掃描IP列表、端口探測等拆分,打亂順序掃描,設定不確定的間隔進行掃描,完成后重新組合,避免被掃描設備的安全防御機制所阻斷。傳統的端口掃描器對防火墻開放端口存在大量的誤報,但是可以通過技術手段解決誤報問題,提高資產探測結果準確性:
- 分片:將可疑的探測包進行分片處理。某些簡單的防火墻為了加快處理速度可能不會進行重組檢查,以此避開其檢查。
- IP誘騙:在進行掃描時,將真實IP地址和其他主機的IP地址混合使用,以此讓目標主機的防火墻或IDS追蹤檢查大量的不同IP地址的數據包,降低其追查到自身的概率。注意,某些高級的IDS系統通過統計分析仍然可以追蹤出掃描者真實IP地址。
- IP偽裝:將自己發送的數據包中的IP地址偽裝成其他主機的地址,從而目標機認為是其他主機在與之通信。需要注意,如果希望接收到目標主機的回復包,那么偽裝的IP需要位于統一局域網內。另外,如果既希望隱蔽自己的IP地址,又希望收到目標主機的回復包,那么可以嘗試使用idle scan或匿名代理(如TOR)等網絡技術。
- 掃描延時:某些防火墻針對發送過于頻繁的數據包會進行嚴格的偵查,而且某些系統限制錯誤報文產生的頻率,所以,定制該情況下發包的頻率和發包延時可以降低目標主機的審查強度、節省網絡帶寬。
- 掃描發包計算:遠程資產發現設備還提供多種規避技巧,比如指定使用某個網絡接口來發送數據包、指定發送包的最小長度、指定發包的MTU、指定TTL、指定偽裝的MAC地址、使用錯誤檢查。
(2) 暴露面資產漏洞檢測方案
a. 漏洞威脅預警
漏洞威脅預警指已經通過各種途徑被披露的通用漏洞,攻擊者通常會利用這些漏洞,快速研發自動化攻擊工具,對存在這些漏洞的暴露面資產進行攻擊,而造成企業暴露面資產損失。企業獲取這些漏洞信息并不及時,所以即使官方已經針對這些漏洞發布漏洞補丁,也未能及時對系統進行修復。
為及時解決企業在漏洞情報信息獲取不及時方面的缺失,可以通過漏洞情報共享平臺提供的漏洞情報信息,與暴露面資產應用軟件產品類型、版本或者OVAL特征適配,第一時間內獲知暴露面資產漏洞威脅預警。
b. 漏洞檢測
在具備漏洞情報共享平臺通報漏洞威脅情報的能力之外,應進行無損漏洞檢測程序的開發,完成對資產風險掃描和評估。暴露面資產漏洞檢測流程如圖2所示:
圖2 暴露面資產漏洞檢測流程
在全量暴露面資產中進行針對性的漏洞檢測,可以在最快的時間進行漏洞定位,以便管理人員可以更有針對性的進行漏洞的修復操作。通過暴露面資產漏洞檢索方案,第一時間檢測出全部資源可能遭受某種已知或未知漏洞影響的范圍,受影響資源的分布以及受影響的關鍵特征等,攻防局勢盡在掌握。同時提供詳細的報表報告,資產漏洞數據支持,足以支撐企業的資產相關決策。
3. 小結:風險導向,態勢感知
互聯網暴露面資產的安全是網絡安全管理工作中的重中之重,各大型企業都對其投入了巨大的技術和管理支撐,遠程檢測技術也成為了其中最為核心的技術要求能力之一。但隨著業務和技術的不斷演進發展,企業需要向用戶提供更加豐富的業務能力、更加優質的用戶體驗,這同時也使得互聯網暴露面資產的安全風險更加嚴峻,企業責任更加重大。因此,企業互聯網暴露面資產的遠程檢測技術仍將是最值得關注和研究的重要技術領域。
網絡發展的同時也伴隨著更多更高級的網絡攻擊在威脅著網絡和信息安全,攻擊行為逐漸變得更加難以捕獲,為了應對日益嚴峻的安全攻勢,需要以資產為基礎,引入安全威脅情報,疊加風險、能力、事件等安全信息,逐步形成安全態勢感知能力,能夠有效的對未知安全事件進行及時和準確地發現。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
