数世咨询:网络空间资产测绘(CAM)能力指南
前言
网络资产不清、资产管理困难以及意识不强导致的安全防御无根基等痛点问题是安全行业的“共性顽疾”,因此网络空间资产的探测与绘制是构建网络安全体系的底层支撑这一理念已经成为业界的共识。而落实主管部门提出的“三化六防,挂图作战”的核心要点之一就是要做好网络空间资产的测绘工作。
鉴于此,数世咨询在2021年初发起了“网络空间资产测绘能力指南”的调研工作。调研工作历时2个月,数世分析师与30余家具备相关能力的安全企业,通过调研表、在线沟通、线下交流,以及用户访谈等方式,进行了深度沟通,最终完成本次调研。现将报告成果公开发布,希望能为业界带来有价值的参考。
本报告分为三个部分:市场指南、能力指南与实践案例,从市场、技术与实例三个层面分别进行阐述。
关键发现
√ 针对赛博空间中的数字化资产,通过扫描探测、流量监听、主机代理、特征匹配等方式,动态发现、汇集资产数据,并进行关联分析与展现,以快速感知安全风险,把握安全态势,从而辅助用户进行指挥决策,支撑预测、保护、检测、响应等安全体系的能力,即为网络空间资产测绘(CAM)。
√ 红蓝攻防演练是近两年资产测绘市场增长率保持近100%增长的重要推动力,梳理资产暴露面成为演练开始前所有参演方的必备功课。
√ 公网测绘与私网/专网测绘相比较,前者大多为监管需求,后者则为企业自身安全防护的需求,但后者占市场占比的绝大部分近70%。
√ CAM的三大关键元素,数字化资产、资产所有权与指纹特征。两大关键能力,资产探测与资产绘制。
√ 不管是资产发现还是资产绘制,长期并持续形成的,深度的技术、数据与经验的积累,才是CAM能力的核心评价标准。
√ 资产数据与其他安全产品的整合,需要与用户侧和其他安全企业反复沟通深度协作才能完成,这个对接过程并不是标准化可复制的,如何在成本和效益之间寻找一个各方都能接受的平衡点,是一个多方博弈的过程。
一、市场指南
▶ 能力点阵图
▶ 市场调研
经过深度沟通,30余家能力提供者中最终18家厂商及机构入选了本次点阵图,分别为:360政企安全、PCSA安全能力者联盟、斗象科技、国舜股份、华顺信安、华云安、聚铭网络、绿盟科技、默安科技、魔方安全、奇安信、数字观星、新华三、远江盛邦、云弈科技、亚信安全、知道创宇和中通服。
这里要说明的是,资产测绘是几乎所有安全工作的基础性工作之一,涵盖多个安全细分领域,因此,参与报名本次调研的企业,除了上述18家外,还有数据安全、工控安全、物联网安全等细分领域的多家能力企业积极报名参与,但鉴于这些细分领域显著的计算环境差别或行业特性差别,难以一同放在本次调研范围内进行统计与比较,因此,数世咨询将在其他细分领域调研报告中纳入这些企业。
2020年,网络空间资产测绘在数世咨询定义的市场成熟度阶梯图中处于“新兴市场”的阶段。如下图所示:
网络资产测绘在数据咨询发布的《2020年中国网络安全能力图谱》中位于 “通用概念”维度中“扫描”二级分类。如下图所示:
▶ 市场规模
据本次调研统计,2020年国内资产测绘市场规模约在5.94亿元左右,综合业界的判断,预计2021年将达到9亿元左右。
本次调研统计了从2019与2020年的市场规模,统计范围包括网络空间测绘订阅服务、资产测绘类产品、资产测绘相关解决方案中涉及的资产测绘与资产管理部分(鉴于红蓝攻防演练中资产暴露面梳理服务通常打包在演练整体服务中,难以单独拆分统计,因此并未计入本次市场规模统计范围)。
虽未包含对“服务”的统计,但红蓝攻防演练是近两年资产测绘市场增长率保持近100%增长的重要推动力,梳理资产暴露面成为演练开始前所有参演方的必备功课。
▶ 客户分布
网络资产测绘市场的主要用户分布如上图所示,排名前四位的行业为政府及部委、军工、运营商和金融用户,合计占比近70%。这几个行业分别对应着监管机构、挂图作战、关键基础设施等典型的资产测绘场景需求。
▶ 交付形态
网络资产测绘能力的交付形态主要有SaaS模式(含会员订阅)、私有化部署模式(含软件与硬件)、纯数据交付模式,各自占比如下:
从图中可以看到,最显著的特征是私有化部署占了将近68%。
私有化部署方式主要应用于机构自有资产的测绘与管理,满足于私网/专网资产的测绘环境或是数据本地化等要求。这与上文行业分布统计中得到的“政府、军队、运营商、金融”四行业所占比例恰好相同,数据上的巧合,一定程度上印证了这四个行业对关基资产、专网资产、自有资产、数据本地化等方面的需求特点。
二、技术指南
1.定义
首先明确网络空间资产的定义,这里的资产是指赛博空间中某机构所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产。具体包括但不限于硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、机构公众号、小程序、App、API、源代码等。概括来说,只要是可操作的对象,不管是实体还是属性。都可以称之为“网络空间资产”。
针对赛博空间中的数字化资产,通过扫描探测、流量监听、主机代理、特征匹配等方式,动态发现、汇集资产数据,并进行关联分析与展现,以快速感知安全风险,把握安全态势,从而辅助用户进行指挥决策,支撑预测、保护、检测、响应等安全体系的能力,即为网络空间资产测绘(CAM)。
2. 关键元素
传统资产到数字化资产:
从资产的数据来源来看,机构中传统的资产台账多以Excel表格的形式存在,且台账的数据基础来源主要是网络部门/运维部门。资产的种类以网络、运维部门为基础视角,这对于安全管理员来说,有天然的局限性。
从资产的变更频率来看,上一任安全管理员留下的资产台账无论是Excel形式还是资产管理系统,都需要依靠“人”的主观能动性推动更新,这种更新没有统一标准,周期性难以保证,随着敏捷开发、云化虚拟化容器化的迅速普及,这个问题会更加突出。
从攻击暴露面的角度来看,随着传统的资产范畴以主机资产、网络设备为主,信息资产,再到如今App、API、微信公众号等新的数字资产形态,资产的范畴不断外延,暴露在潜在攻击者面前的选择越来越多。而这些数字资产在传统台账中恰恰是完全缺失的,如果仅依靠安全管理员使用传统方式手动发现、完善、补充,必然会有遗漏。因此安全厂商的资产测绘能力要能涵盖这些新的数字化资产。
资产的所有权:
数字化资产面临的首要问题,就是资产的所有权问题。
资产的所有权,即某个资产归属于谁。不同于传统的IT资产,一台服务器放在哪个机房,这台设备属于谁是很明确的,但在数字化资产形态越来越多变的趋势下,某些场景会存在资产所有权的争议。
例举一个真实案例,近年某次红蓝攻防演练期间,攻击队发现并拿下了某家股份制银行的一个站点,站点上有该银行的金融产品内容介绍、icon图标等,甚至还有该银行的账户登录入口。银行安全负责人收到失陷通知后立刻带队排查,却始终没有查出来哪个站点被攻破丢了分。后来才发现,被攻破的站点本质上就不是这家银行的资产,而是一个钓鱼网站。
除了红蓝攻防演练这种极端场景外,日常类似的场景,会经常出现在GitHub(源代码资产)、微信公众号/小程序(API资产)、移动应用市场(App资产)甚至暗网(数据资产)等深网环境中,因此,数字化资产的所有权,已经难以用传统意义上的硬件或地理归属来确定,只要是潜在有可能被攻击者利用的资产,都是应当纳入安全管理人员的关注范围。
资产的指纹特征:
机构中某个资产具有的一系列特征信息的集合构成了这个资产的指纹特征。这些特征信息,是可以通过正常手段看到或获取到的信息。例如,{外网IP地址、内网IP地址、端口号、证书、域名、操作系统、Web应用、中间件/框架}就构成了某机构某台Web服务器的指纹特征。
指纹特征的目的是为了准确描述和定位某个资产的安全属性。无论对于潜在的攻击方还是明处的防守方,对某个资产的准确描述和定位是开展后续一系列攻击/防守动作的基础。一般情况下,这个指纹特征是唯一的,但并不绝对。特征信息越丰富越准确,它的唯一性就越强。
准确描述和定位某个资产的安全属性有什么用呢?
资产的安全属性与业务价值:
从安全事件的潜在影响来看,网络部门、运维团队的首要任务是保证网络可用性、业务连续性等等,他们优先关注的关键资产是诸如核心交换机、负载均衡、容灾备份这样的资产,但这些资产并不一定是安全管理员优先关注的,后者更关注的是安全事件发生后的潜在损失、影响范围、追踪溯源等等,这些内容都与资产的安全属性紧密相关。
从攻击者的视角来看更明显。攻击者不一定关注负载均衡,但是一定关注核心业务数据库和域控服务器,这些资产的潜在收益最高,同时也会优先关注像Struts2等等大范围应用同时又总是爆出高危漏洞的框架,这些目标资产的影响范围更广。
因此机构在资产管理的过程中,除了网络属性、运维属性外,资产的安全属性与业务价值也应当有所体现。最直接的收益是,当某个特征的资产(例如Struts2)受到新爆出的1day漏洞威胁时,安全运营人员可以从攻击者的视角,对所有Struts2资产进行快速筛选,并准确定位其中哪些是业务核心系统,进而快速处理。这也是资产测绘的关键能力之一,在后面关键能力部分还会详细论述。
3. 关键能力
资产发现
资产发现能力是资产测绘的基础,决定了后续资产管理分析、资产数据能力输出等环节的效果。发现手段分为主动扫描探测、被动流量识别等方式。
□ 主动扫描探测
资产发现的手段,目前以主动扫描探测为主。主动扫描探测的基本思路是利用资产测绘引擎,在网络中的一个或多个节点,对网络中IP地址空间及域名空间通过预先配置好的策略进行扫描与协议分析,进而发现存活的IP地址、端口服务,以及更深层次的设备型号、操作系统、应用组件等资产信息。
在完成IP地址、常用端口的遍历扫描后,可以辅以IP定位库、URL地址、域名信息、证书信息、DNS记录、Passive DNS、icon图标等资产数据情报,与扫描结果进行关联碰撞后补充进资产要素。这些数据也是潜在攻击者在发起攻击前的信息搜集阶段重点关注的资产情报,用户对这些维度的数据可以重点考察数据量、覆盖范围、更新频度等指标。
我们所熟知的网络空间测绘,国外的先驱是shodan和censys(censys和zmap是同一个团队开发的),国内早期有团队利用nmap、zmap、masscan等开源工具为基础做出改进,开发出的自用或商用的资产测绘平台,但受限于nmap速度慢、准确率不高等先天限制,目前已经有机构以自研引擎作为补充,对探测的性能和准确率提升做出努力,并推出了自己的商用平台,即其主要用户是监管单位、科研单位、以及白帽子等技术研究人员。
随着网络安全法的颁布实施,以及红蓝对抗场景下用户需求的引导,机构自身的资产盘点开始成为突出需求,因此安全企业中开始有企业转变思路,并不强求全网空间测绘的全面覆盖,而是着眼于用户机构自身的资产做资产发现,同样取得不错的效果。原本单纯做资产空间测绘的企业,也开始推出企业版/机构版适应国内需求的变化。
无论是网络空间测绘还是机构用户自身资产的扫描探测,都应当充分考虑扫描策略的合理性,除了考察扫描节点的部署数量、部署位置、扫描节点的任务分配机制之外,还建议关注扫描的并发量、扫描时间与业务是否冲突、扫描是否支持随时启停等等。特别是在机构内网,有些年代久远的老旧设备,或是位于核心路由节点的交换机等关键设备,是经不起大流量并发扫描的压力的。应当根据用户的实际业务场景和资产状况,充分考虑这些潜在的“脆弱”资产,在不影响目标资产正常运转的前提下做好资产发现工作。
□ 被动流量资产发现
被动流量资产发现手段作为补充,帮助主动资产测绘查漏补缺。这部分能力,安全企业有三类实现路径:领域头部能力企业与监管单位合作,通过预研项目等形式,共同对超大流量场景下的流量识别能力开展研究,逐渐形成被动流量资产发现与威胁检测能力;规模较大的综合性安全企业,有自己的流量安全产品,能够与资产测绘类产品无缝对接形成解决方案;剩余大部分安全企业选择与成熟的流量检测厂商或运营商合作,发现未知资产。这几种实现路径在准确率和识别率各有侧重,主要根据用户的场景和需求来确定,例如超大流量场景侧重在保障准确率的基础上逐步提升识别率。
□ 深度资产发现
资产发现的多寡、是否准确,除了上述两个主要能力点外,还取决于在资产发现的过程中,探测引擎是否具备一定程度的深度资产发现能力,目的是在保证目标资产正常运转的前提下,尽可能多的发现资产指纹要素。例如:
对于用户的自研系统和非标准应用,能够支持用户自定义创建规则;在遇到某些典型应用配置为非标准端口时,能够结合现有指纹规则集与该资产的历史资产数据(若有)做出智能判断;
在遇到某些banner时,能够自动根据banner中的返回信息做出进一步的交互式扫描,寻求更多资产指纹信息;
根据扫描对象的状态,智能选择扫描方式,调整扫描策略,例如针对长期不上线又重新上线的资产,自动进行一次全端口探测;
能够对开源模拟器、开源蜜罐等仿真环境实现一定程度的有效识别。
□ 资产数据的存储与检索
从全球范围来看,互联网地址空间约有IPv4地址40亿,IPv6地址趋于无限,与IPv4/IPv6地址相对应的是域名地址,据威瑞信统计,截至2020年第三季度,全球已注册顶级域名超过3.7亿,较第二季度增加600万个。即便从机构用户自身拥有的资产角度来看,对于国家、行业,以及一些跨国跨地域的大型机构来说,资产数据也是海量的,其存储和检索具备典型的大数据特征。在资产管理和资产数据应用过程中,会面对快速检索、关联分析、深度挖掘等需求。因此,资产数据的分布式存储和分布式检索是大型机构用户必须考虑的因素。
同时,对于国家机关、监管机构、关键基础设施以及金融行业等对数据保密性有强要求的用户,数据的存储和检索也都必须在用户本地,安全厂商的产品及平台对本地化部署的支持程度及配套更新服务也是用户要考虑的重要因素。在本地化部署的情况下,资产数据要保持更新,同时又要符合数据保密或封闭流转的严格要求。
资产的关联绘制
资产发现获取的资产信息,繁杂且不规则,通过对资产信息的分类分级、标签标识、更新与绘制,使其成为更有价值的资产数据,这个过程中形成的能力就是对资产的关联绘制。
□ 资产信息的分类分级
经过前期的资产发现,以及从CMDB、LDAP等资产管理系统导入资产数据后,这些数据形成了资产库的基础,但还无法直接使用,需要从安全视角对其进行分类分级。参照漏洞的CVSS评分标准,重点考量机构用户自身的行业特点、资产所属的业务重要程度,综合制定分类分级标准。此外,金融行业核心业务资产为最高处理优先级,但白天的开市交易时段,却不能有任何的资产扫描动作。诸如这样的因素,在对资产进行分类分级的过程中,也要考虑到。
□ 资产的标签标识
分类分级的标准确立后,需要对资产打上标签标识。首先通过自动化的方式将操作系统、应用、中间件、框架等可直接识别确认的信息批量打上标签,之后通过人工协助,对资产的重要程度、优先级、归属地、责任人等信息进行标签标记。如果机构用户的资产数量非常庞大,这个过程还可以通过机器学习自行优化迭代。
标签标识与漏洞情报结合后,可以迅速缩小潜在受影响的资产范围,在后面的应用场景章节中对这部分还会有详细论述。
□ 资产数据的更新与绘制
无论是数字化转型,还是红蓝攻防演练,机构所拥有的资产形态、数量都在不断增加,资产数据并不是静态的,而是随着业务发展、计算环境变化而变化的。安全团队需要对资产,特别是核心资产,进行动态更新与绘制。主要实现方式是利用可视化技术,结合资产数据的应用场景,从多个维度对资产数据进行关联分析与展现。
这其中最重要的维度就是时间。例如,某个影响范围巨大的漏洞事件应急响应过后,如果安全团队能继续针对漏洞风险资产进行周期性扫描,并将结果数据以时间维度进行可视化展现,就可以看出在这一段时间范围内,安全漏洞所实际影响的资产数量在不断减少,机构用户的被攻击暴露面在不断收敛,这说明安全工作是有成效的。换句话说,“时间”证明了安全团队的价值。
另一个典型的资产绘制场景,是对资产数据的分层标签展示。
前文在标签标识部分提到,资产指纹与漏洞情报结合后,可以迅速圈定潜在受威胁的资产范围。在1day漏洞出现后的短暂时间窗口,即便没有详细的漏洞描述,无法通过漏洞PoC精准验证漏洞,但是可以通过操作系统、应用、版本号、端口号等信息,将所有受到潜在威胁的资产筛选出来,再根据业务重要性、影响程度等因素综合考量后,采取加固或下线处置。这里的问题是,当在攻防演练等极端场景中,或是受影响的资产数量很多时,经验丰富的安全分析人员数量有限时,如何快速有效的进行处置。
资产绘制的解决办法是,将上述筛选后的资产指纹数据,按协议分多层放置,同时将它们的关联关系绑定。这样一来,通过“资产按协议分层展示”,即便普通安全人员也能够直观掌握风险资产的具体范围,这样的绘制结果可以为普通安全人员提供明确的优先级指导与动作建议,甚至直接配以“一键下线”等功能,实现快速响应。
图源:PCSA安全能力者联盟
除了时间维度的横向绘制和协议分层显示的纵向绘制,灵活运用各类图表、散点图、知识图谱、逻辑拓扑、安全态势大屏等,都能够为资产绘制提供直观高效的呈现手段,提升资产测“绘”的效率和效果。
在以上整个过程中,不管是资产发现还是资产绘制,长期并持续形成的,深度的技术、数据与经验的积累,才是网络空间资产测绘能力的核心评价标准。
4. 应用场景
关联威胁,提升应急响应时效
资产测绘的主要应用场景,是将资产数据与威胁风险关联叠加后,提升安全应急响应的时效。
这里需要强调一项与资产安全应急响应相关的重要能力——漏洞PoC能力。无论是对各大漏洞发布消息源的实时监测还是安全团队自己撰写,快速有效的漏洞PoC,能够使潜在受到1day漏洞威胁的资产快速排查发挥出最佳效果。
漏洞PoC的搜集和编写,时效性要求较高,经验丰富的中高级别安全研究人员很快就可以写出,但是技术门槛不高,属于苦活累活,对员工来说技能的提升帮助有限,对机构来说直接收益也并不明显,属于长期积累后才能慢慢显现效果的“内功”,很多安全企业无法长期坚持,这也是一个现实问题。
挂图作战,绘制网络空间地图
对国家、区域、行业的监管机构来说,资产测绘的重要场景之一是绘制网络空间地图,为“挂图作战”做准备。挂图作战是一种作战方式或工作方式,通过直观的图表形式将目标、方案、措施、流程、进展等方式呈现出来,从而达到“参战人员”认识一致、快速行动的目的。相比传统的地理空间作战,网络空间对抗更加隐秘复杂且瞬息万变,要想“挂图作战”在态势研判和协同行动中能起到显著效果,最首要也最直接的就是绘制网络空间地图,实现网络空间的可视化。
作为资产测绘的第一个场景化应用,绘制网络空间地图有一个重要因素,就是网络空间地址与真实地理位置的对应。目前IPv4空间早已于2011年分配完毕。绝大多数情况下,这些已分配的IP地址是与地理区域相关联对应的,也就是我们常说的IP定位库,这是绘制网络空间地图所依赖的重要基础库。目前国内已有郑州埃文科技、北京天特信(ipip.net)等企业在运营着这样的IP定位库,且其定位精度已经能够达到区县级,甚至是街道级。同时IPv6地址定位库的建设也在开展和运营中。基于不断提升的IP定位能力,资产测绘才能为网络空间对抗挂图作战、乃至沙盘推演提供能力支撑。
摸清家底,关键信息基础设施保护
对于机构的专网/私网来说,资产测绘的主要应用场景是资产盘点,摸清家底。特别是关键信息基础设施,涉及行业多、数量大,部分机构信息化程度低、底子薄,缺少全面准确的信息资产台账。安全漏洞本就不可避免,当再次出现大范围勒索病毒这样的严重安全事件时,依托全面准确的资产台账,决策者就能从全局视角掌握资产分布,跟进资产变化,根据资产态势做出更为快速、准确的决策。
红蓝对抗,梳理资产暴露面
无论是红方还是蓝方,在攻守博弈中,首先要做的是梳理资产暴露面,谁掌握的暴露面越全面,谁就占据了对抗的先机。特别是作为防守方,看似资产的探测主动权掌握在自己手中,但随着网络边界的消失,攻方能够从互联网上以第三方视角所做的资产信息搜集,已经远远不局限于传统边界DMZ区开放的IP地址和端口号。因此防守方也必须从攻击视角出发,将资产暴露面的梳理涵盖到更广的范围,如前所述,GitHub、微信公众号、小程序、暗网等等都是要重点关注的潜在资产暴露面。先一步发现这些暴露在外的资产,有效收敛并持续监测,是红蓝对抗场景下的必修功课。
安全底座,资产数据能力输出
资产是安全的底座,资产测绘作为一项基础能力,是几乎所有安全产品及解决方案的第一个步骤。特别是APT检测、态势感知、安全运营等体系化的安全解决方案,都需要以资产数据作为基础数据来发挥整个体系的价值。全面精准的资产数据,依照标准和规范通过API接口输出给其他产品或解决方案,将是未来资产测绘的另一个主要应用场景。
5.落地难点
资产的分类分级标准,需要在机构用户一把手的推动、各业务部门的配合支持下落地并不断完善,不是单靠安全部门就能做好的,如果该机构用户所在的行业没有明确的监管政策合规要求,这个过程会更长,向领导汇报的成本和部门间的沟通成本也会更高。
机构用户,特别是大型集团、跨国机构类用户,业务变化带来资产形态的变化,原有单一产品难以全部覆盖;历任不同领导和安全管理员对资产的管理具有不同策略和选择;核心资产与周边资产的覆盖也存在先后顺序的差异。以上这些因素导致同一个机构用户的多个不同资产类产品会有较大出入,为安全管理人员增加了很多工作成本,也为后期统一管理留下一定的隐患。现在已经有安全企业推出了此类统一安全资产管理平台,但是“统一”的效果并不尽如人意。
资产数据与其他安全产品的整合,需要与用户侧和其他安全企业反复沟通深度协作才能完成,这个对接过程并不是标准化可复制的,如何在成本和效益之间寻找一个各方都能接受的平衡点,是一个多方博弈的过程。即便最后完成了对接,项目完成后的维保也存在隐患。好的资产管理方案难于落地,本质上难的不是技术,而是“管理”。
6. 未来发展趋势
□ 市场层面,网络空间资产的基础地位决定,无论是监测全网态势还是行业监管或企业自身的安全防护,网络空间资产测绘工具都有着巨大的发展空间。
□ 应用层面,工业互联网、物联网、5G通信、IPV6等信息环境,包括大量智能终端、网络设备和软件应用等计算对象的爆发,以及现实世界与网络世界的融合,会衍生出大量的应用场景,CAM一定会在其中扮演极为重要的角色。
□ 技术层面,CAM将走向主动探测、被动分析、探针代理等多种手段结合,并结合自动化,甚至是人工智能等技术,以适应未来庞大、复杂的应用场景需求。
三、 实践案例
案例一:中国华×集团有限公司
(本案例由北京华顺信安科技有限公司提供)
场景介绍
中国华×集团有限公司(以下简称“华×集团”)内部各部门业务类型和用户规模的不断增加,网络资产的规模逐步增加,结构日益复杂。目前缺乏根据对不同资产的指纹特征进行信息处理,进而对同一类型资产的指纹特征进行聚合分析,提取资产的规则特征,从而建设网络资产库、协议信息库、规则信息库、IP 地理位置库以及格式化 POC 库。在此基础上,支持网络空间资产监测、特定资产分布统计、漏洞影响范围快速确认等相关工作。
需求分析
华×集团及下属企业的系统及区域构成复杂,其信息资产设备种类与数量众多, 企业的安全管理与资产管理之间,使得对设备的安全管理与风险发现工作较为困难,一旦有恶意分子利用某信息系统设备存在的安全风险从而对信息系统进行攻击行为,极有可能造成严重损失,譬如:
□ 缺失风险管控手段,对漏洞的处置、验证及跟踪机制不全,容易导致漏洞遗留、疏漏等风险;
□ 独立的分/子公司及利润中心众多,异地资产数据庞大,极易引发网络安全问题且总部无法进行统一监管;
□ 无法快速、精细掌握全网信息化资产、应用、服务和相关组件,难以主动、科学的进行规划,网络资产安全管理处于被动状态;
□ 缺乏对关键信息基础设施资产端口、服务及应用的梳理能力,不能有效掌握各资产的安全运行情况,难以区分资产类别,无法为资产安全策略优化等工作提供准确的数据依据;
□ 缺乏对资产的有效监管,不能够在第一时间内对新漏洞可能影响的风险资产进行安全预警及无法快速、有效、精准的进行安全响应;
华×集团针对企业现存在的安全隐患及风险点,急需建设一套完整的网络资产测绘和监控管理平台,分析整理不同种类资产信息(协议、网站等);结合指纹信息(规则),对符合规则的资产进行统计分析,可进行应用分布统计、地域资产筛查、行业资产统计、企业资产统计、网络空间威胁态势感知、全网漏洞影响精准定位及快速测绘等工作。
解决方案
总体架构主要由采集节点、数据融合分析分析与探测、控制中心,三部分组成, 面向全网资产(跨区域、跨平台、跨服务商)进行全方位资产测绘、风险验证与威胁预警及溯原。
整体解决方案层级间可根据网络和资产规模进行组合亦可单独运行,对数据进行分层,分量处理;
每层级间,通过数据的传输,梳理,存储以及交换,满足平台本身对数据的运算能力及数据的安全性,通过关联算法进行关联计算和数据融合关联分析,进行自定义式展现。
除此之外,华×集团根据自身特性已建设不同的信息化安全平台,在整体方案设计过程中充分考虑与华×集团现有平台进行对接以便达到互联互防等效果,从整体上拔高华×集团信息安全防护整体能力。
安全管控平台能够向上层应用提供快速、可靠、开放的数据智能融合分析接口与华×集团各个平台应用接口及子接口进行对接,具备有效的空间资产分析处理能力。
□ 平台保持开放性,向第三方应用提供开放标准的接口;
□ 平台确保数据的质量,应用服务提供商专注于提供实战应用;
□ 应用服务(由第三方提供商)
价值体现
构建“全资产管理、探测、深度感知、情报预警与可视呈现”的网络空间安全资产测绘平台,实现对终端主机、设备、流量、协议、控制系统等的全方位实时探测与感知,基于轻量化、无感知的探测技术与独有关联分析算法对海量的资产数据进行融合关联分析,结合风险告警和趋势预警技术,形成经安全指数综合评估的实时多维度安全态势与威胁情报,便于华×集团掌握全网资产安全态势,及时处置资产安全风险和威胁。
□ 提升网络安全监管能力:通过全网资产安全监测及数据融合分析,实现对网络空间资产安全的在线实时态势感知,提升用户网络资产的安全监管能力;
□ 提高网络安全防护水平:通过平台的安全态势感知的风险预警机制及时向用户进行网络空间资产风险与威胁通报,督促系统或资产管理部分加强安全防护,提高整体网络安全防护水平;
□ 提高合规性执行监督能力:通过网络安全等级保护合规性,实现对网络空间资产安全合规性执行情况进行追踪,提升监管部门对网络安全合规性监督能力。
案例二:工业互联网重要资源测绘与安全分析平台建设项目
(本案例由知道创宇提供)
场景介绍
工业互联网是国家重要信息基础设施,一旦遭受攻击,将可能造成全生产链、全产业链乃至全局性重创,对国家的经济社会稳定运行和国家安全造成巨大冲击。随着信息化工业化融合的推进,网络安全威胁加速向工业领域蔓延,工业互联网资源安全日益成为工业互联网安全关键要素。当前,我国工业互联网资源存在 “底数不清”、“安全不明”“防护不够”的突出问题,缺乏对工业互联网资源及其安全性的准确把握。
本项目客户是工业互联网行业主管部门,在当前严峻的工业互联网安全形势下,亟需从国家层面构建工业互联网资源测绘和安全分析能力,绘制工业互联网重要资源地图和安全图谱,以实现对工业互联网基础设施的有效探测、空间感知和安全分析、风险预警和损害评估。
客户需求
资产测绘覆盖范围广泛:能够发现全国范围内的互联网可达的工业资源资产。
资产类型识别全面准确:能够准确识别工业资源资产类型,并探测采集其属性信息。
资产测绘信息统一管理:各探测点的探测信息可汇聚到统一平台并融合处理,以对全国工业互联网资源进行整体性关联分析。
虚假工业资源精准识别:互联网工业资源探测中,能够准确识别用于安全研究、工业网络防护的虚假工控设备、工控系统蜜罐/蜜场。
解决方案
构建工业互联网资源测绘和安全分析平台,发现工业互联网设备、系统、平台等重要资源,通过多点联动的协同发现、融合分析等,形成跨地区、跨行业、跨领域工业互联网资源。
(部署架构——图片来源:知道创宇)
从部署方面来说,分为管理主体、互联网探测节点两部分。管理主体部署在客户的数据中心机房,工业互联网资源探测节点部署在互联网。
管理主体:部署在客户的数据中心机房,对探测节点、探测数据等进行集中管理,可以实现对探测节点的动态分布式按需部署。
探测节点:部署在全国各省区的托管数据中心,或者公共云服务商提供的虚拟计算节点,主要完成全国互联网的工业资源发现、协议响应报文抓取,以及工业资源漏洞验证等任务。
互联网探测节点按照扫描任务调度要求执行探测任务,对我国的互联网IP段进行持续定向扫描,周期性探测采集互联网上存活设备的类型、品牌、端口、系统、服务等基础数据;探测采集的基础数据经过数据清洗,去除无效数据,归类聚类存储,并提供数据检索。
(互联网工业资源测绘技术架构——图片来源:知道创宇)
设备类型识别:工业控制设备因其重要性和特殊性,一般使用独有的通信协议、交互方式,给全面的工控测绘带来很大困难。通过积极收集互联网数据、跟客户充分配合、搭建模拟环境、分析标准协议等等手段,构建工业互联网资产指纹库。目前已经支持8大类、25种工控协议、150种设备品牌的识别。
工业蜜罐识别:建立工业蜜罐行为规则库,通过对工业互联网资产进行多次探测,根据每一次探测返回的结果进行特点分析,从中发现疑似蜜罐的互联网资产,再分配进一步深入探测的任务,通过对疑似工业蜜罐进行多次反复探测,确认识别工业蜜罐。
对具体IP是否为工控蜜罐的判断依据主要包括四个方面:对目标IP地址基础位置信息进行识别,分析该IP是否属于云服务器、以及其PLC的工控协议服务开放情况;进行TCP/IP操作系统指纹识别,分析该IP的操作系统类型、以及是否为嵌入式;通过工控协议深度交互,模拟PLC编程软件与被扫描IP交互,分析该IP返回信息与真实PLC返回信息的差异情况;利用组态程序调试运行识别,通过工控协议交互模拟PLC程序的下载操作,分析该IP对应PLC的汇编执行情况。根据不同判断维度获取的信息,基于机器学习对信息进行融合,进而识别工控蜜罐。
(工控蜜罐识别——图片来源:知道创宇)
高精地理定位:通过多种方法协同,实现工业互联网资源与地理空间的映射。首先采用基于海量地标的IP位置推断和多维信息融合IP定位,再配合采购的高精度资产IP地理位置库,形成对资产IP地理位置的多方校准和发现,实现资产网络与空间关系的映射。此外,允许用户根据已知的资产地理位置,手动校准资产数据的地理位置信息。
客户价值
补齐国家级工业互联网络安全监测体系的能力短板。构建基于工业互联网“专网”的工业互联网平台、设备和系统等的国家级网络安全监测体系,是我国工业互联网深入发展的重要安全保障,而工业互联网重要资源测绘与安全分析是该体系的重要能力组成。
推动国家工业互联网行业安全保障水平提升。建设国家级工业互联网资源测绘与安全分析平台,能够有效摸清国家工业互联网重要资源分布情况,掌握重要资源安全状态,全面提升工业互联网安全保障能力。
客户反馈
借助于知道创宇特有的工控测绘技术,我们建立了可以覆盖全国的工业互联网资源测绘与安全分析能力,对于摸清我国工业互联网资源底数、发现安全风险具有重要的现实意义,进而可面向国家及地方政府部门提供工业互联网资产安全指数、态势研判、突发事件应急处置等支撑服务工作,为国家安全监管部门提供有效安全支撑。
案例三:某城市产业网络空间测绘地图项目
(本案例由360政企安全提供)
场景介绍
新一代智慧城市是数字化的重要场景。需要通过集中建设和运营“城市级”网络安全基础设施提升城市网络安全水平。网络空间测绘地图作为网络安全基础设施中的重要组成部分,能够为城市网络安全管理者清晰展现数字世界的虚拟资源,帮助用户高效管控网络空间,维护城市的网络安全。
客户需求
全面识别:支持基于指纹和机器学习的资产探测识别,具备网络空间拓扑测绘能力,网络结构分析能力,网络空间资产归属关联能力等。
精准定位:支持街道级地标挖掘技术和城市级定位能力,全面描述和展示区域内的网络空间信息,为各类应用提供数据和地图可视化的业务支持。
深度挖掘:横向关联漏洞信息、威胁情报信息、图标信息、资产归属信息、自治域信息、DNS信息等,并对主要协议进行字段深度识别和AI数据挖掘。具备对重点威胁组织的持续性主动情报挖掘能力。
持续运营:提供持续的网络空间探测和数据分析能力及工作台;实现漏洞数据、威胁情报数据、其它关联数据的更新和预警;具备独立的APT组织发现能力和相关高级威胁的持续追踪溯源能力。
解决方案
360 QUAKE网络空间测绘系统,可实现对全球网络空间中的各类虚实资源及其属性进行探测、分析和绘制。目前该产品已在城市产业项目中投入运营,覆盖全市8万多家单位,数百万人群,每天获取数据超百万条,持续监测各类重大网络安全事件,追踪多个APT组织,能够为各类应用(如安全运营、资产评估、漏洞响应等)提供全面可视化的数据和技术支撑。具体方案如下:
一、全面探测城市网络空间
基于VScan引擎,可实现快速对全球IPv4/IPv6的资产普查,对城市范围内所有存活设备,网络拓扑关系进行不间断的探测。支持网络空间资产探测,包括内网探测和外网探测、主动探测和被动探测;网络空间拓扑探测;以及网络空间风险探测。
(360 QUAKE Vscan引擎——图片来源:360)
二、细粒度网络空间资产画像
对扫描器规则和指纹进行全面提取,识别并重新定义,实现了多层次多维度特征挖掘,实现资产多维度画像,资产分层画像,资产关联分析,开放服务关联分析,资产权责归属分析,实现资产、产品、单位等一体化资产关联基础库,资产类型覆盖应用业务层、中间支撑层、服务协议层、操作系统层、硬件设备层。
三、多元数据挖掘与关联
将360安全大脑情报云、漏洞云等数朵云的数据能力形成全息映射并进行关联,打破传统空间测绘对于视角的束缚,形成超过5层多类型全要素数据的映射关系。可智能关联分析资产的归属单位,发现未知或未监控资产、服务和数据等。
四、资产与漏洞态势追踪
第一时间对漏洞造成的影响进行测绘与评估。当确认漏洞可被利用时,能够给出准确的安全预警,并督促其修复,且可以持续性监测,并对区域内单位的安全运营能力进行长期量化评估。
五、街道级高精定位与反查
依靠大规模的多源地理信息数据和多种定位技术的应用,系统在高精模式下的结果范围最精准可达到50米,区县级定位至区县中心。通过地图框选功能可以立即获知框选区域内资产详情和多维度统计信息,包括自治信息、运营商、归属、PDNS等。
六、全要素数据呈现可视化
结合空间、地点、时间等多个维度,打破地图上数据信息展示单一的格局,对不同数据进行多维度处理,并进行合理的叠加,将组织关系、物理位置、网络行为、通联日志等数据以网络拓扑视图、地理分布视图以及时间维度等多种方式展现于全息地图之上,实现城市监管业务挂图作战。
(360 QUAKE网络空间测绘系统典型部署架构——图片来源:360)
客户价值
测绘网络空间:系统采用全面的虚实资源探测技术面向城市区域进行全面测绘,拥有线上57亿测绘数据,40万种指纹,识别1000多种协议,多层级网络结构,全面开放的API接口,深度协议分析,完全定制化的持续性资源主动探测请求和响应。
开展挂图监管:基于海量资产归属数据,地理映射数据和城市街道级IP定位技术,用户可以实现对区域网络空间地图的精准定位及画框选定,宏观了解态势,微观洞察细节,全面掌握网络安全的主动权,实现城市监管业务的挂图作战。
主动挖掘数据:通过360的漏洞、情报能力和深度数据挖掘能力,一方面可以有效验证对区域内网络资源和设备资产的影响,快速精确掌握漏洞风险状况和分布情况。另一方面主动扩展威胁情报线索和溯源,全面支持各级别安全攻防演练,结合安全大数据分析提升城市与企业的安全能力。
持续高效运营:全面对接城市安全运营中心,掌握全网安全态势。测绘地图在安全运营中的使用能够为用户有效降低成本,显著提高效率。
客户评价
360 QUAKE系统不但提供了城市范围内的高精度地理信息图示,而且精确关联到IP归属单位和相关的资产漏洞信息,使网络空间资产信息可查,可视,可控。为规划后续的网络安全工作提供了重要依据和支撑。
案例四:某市公安局网络空间资产探测系统客户案例
(本案例由盛邦安全提供)
场景介绍
为应对日益严峻的网络安全挑战,以网信、公安为代表的网络安全监督检查单位承担着对关键信息技术设施及业务系统进行监督管理与检查的重要职责。但目前,关键信息基础设施建设底数不清的情况仍然比较严重,防护对象的拓扑、规模、属性、资产价值、承载业务情况模糊不清,一旦发生安全事件,监管单位急需掌握被感染主机的精确数量、范围规模、承载业务、是否为重要关键业务等情况,以便评估当前危害和蔓延态势;由于缺乏关键信息基础设施资产的详细信息以及无法做到精确化的风险描述,严重影响监管单位和主管部门的科学决策和指挥调度。
客户需求
某市公安局网警支队负责对辖区内网络安全整体态势进行监控感知,指导和执行网络安全执法检查,对发现的问题进行通告、预警及处置。该客户需要对辖区网络中暴露的网站、系统和设备等网络资产进行监测、发现、问题检查和整改督促。具体需求包括:
(1)能够发现辖区内互联网暴露面的网站、业务系统、网络设备和IoT设备等资产;
(2)能够发现辖区内互联网暴露的资产漏洞、弱口令、危险端口等安全风险;
(3)能够对网络资产和安全风险进行检索、定位,确定问题范围和提供执法依据。
解决方案
(1)在互联网侧,通过资产探测系统对辖区内关键信息基础设施、重要门户网站及在线的信息系统、IoT设备等暴露面资产进行探测摸底,形成完整的资产画像;
(2)通过资产探测系统的扫描监控引擎及时准确地发现非法资产、风险端口、风险服务、系统漏洞、Web漏洞、数据库漏洞、IoT漏洞、弱口令等安全风险;
(3)对于重点单位,针对内网业务、信息系统、网络设备及办公终端等资产使用便携式资产探测系统进行定期执法检查;
(4)汇总各类型网络资产安全事件并进行关联分析,形成省市级垂直态势监控与通报预警安全保障体系。
方案价值
(1)资产指纹类型全面:覆盖20多个大类,10万多指纹,可识别各种网络设备、终端、服务器、IoT设备、信息系统、网站、中间件、数据库和工业控制系统等;
(2)资产画像信息完整:能够识别包含设备类型、厂家、品牌、型号、操作系统、软件及版本、IP地址、子网掩码、网关、开放服务、开放端口、协议、存在的漏洞、弱口令、补丁信息、地理位置、防护情况和资产属性等各类信息;
(3)安全情报链条清晰:能够绘制完整的辖区网络地图,秒级处理海量查询数据,从而实现安全事件精准定位、灾情范围快速定界、预警通报及时准确、执法检查证据清晰。
作者:
综合调研分析师:刘宸宇
产业市场分析师:左晶
数据统计分析师:牛爱民
机构简介
北京数字世界咨询有限公司,中国数字安全领域中立的第三方调研机构,以数字时代为背景,提供网络安全行业的调查、研究与咨询服务。
联系邮箱:dw@dwcon.cn