随着万物互联时代的到来,资产多、变化快、人力少、漏洞管理不足等困难已成为各类实战演习入侵的重要突破口,本文围绕资产测绘在实际网络安全运营中的应用为主题展开。
网络空间资产测绘是一种针对网络环境中的资产进行探测、分析和管理的关键技术,可结合实际业务及数据情况,梳理发现攻击威胁脆弱面,为组织制定完整合理网络信息安全整体规划、方案设计、安全运营提供基础支撑和重要依据,为数据资产、业务系统安全保障提供科学依据。网络空间资产测绘是实现网络安全管理的重要前提,在网络安全相关工作中具有广泛的应用价值。
网络安全领域常提及的安全技术动作“暴露面收敛”,就是在资产测绘的基础上进行的。
网络空间资产测绘的范围通常包括:网络硬件基础设施、数据资产存储设备和系统、安全设备、操作系统、数据库、IP地址、端口、证书、协议、域名、web应用、办公终端等。针对识别到的资产,收集其相关的特征信息以及漏洞情况,将收集到的资产特征信息进行关联分析,构建资产之间的关联关系,揭示网络空间的拓扑结构,对网络空间资产、数据资产以及业务系统进行风险评估,识别潜在的安全威胁。网络资产测绘具备资产探测、资产分析与统计、漏洞扫描、漏洞验证等功能,是组织做好网络安全日常运维的基础与关键。下面将以几个方面为例,阐述资产测绘对安全防御策略制定的重要性:
一、资产测绘在网络硬件设备方面的应用
可以通过扫描设备或者现场清查等方式梳理单位网络中的各类设备,包括服务器、路由器、交换机、防火墙等,以识别其类型、厂商和操作系统信息。这一过程有助于对网络硬件设备进行全面的识别和记录,进而构建出清晰的网络资产清单和网络拓扑,对于没有承载实际业务、非必要的网络硬件设备进行关停或移除,同时检查各硬件设备的补丁情况,既有助于减少攻击面,又能优化网络性能,降低网络资源占用。
例如:因业务快速发展使得单位重新建设OA系统和新部署服务器,而老的OA系统暂停使用,但承载老OA系统的服务器依然在运行,且无人进行安全维护,导致该服务器成为攻击者进入的薄弱点。
二、资产测绘在安全设备方面的应用
通过资产测绘可以精确地获取企业、单位的网络信息资产的数量、类型和空间分布,可以精确地规划安全设备的空间分布,优化安全设备的合理布局应用,提高安全设备的运行效率,同时可以监测安全设备的运行状态,评估设备的安全性能,在发生安全事件时,可以快速定位事故现场和入侵的安全设备,为救援和恢复工作提供关键证据信息。
例如安全设备的防护策略中已启用上传文件黑名单防护,但是由于设备维护者经验不足,对上传文件后缀无法覆盖全面,如黑名单不允许上传带有.php后缀的文件,攻击者则可以上传带有.phtml、.phps、.php5后缀的文件等来替代.php后缀的文件,进而绕过黑名单。
三、资产测绘在操作系统方面的应用
识别并记录组织内部使用的各种操作系统类型、版本以及相关的配置信息。这有助于组织了解自身的操作系统资产状况,为后续的基线安全管理(补丁修复、安全管理等)提供基础依据。了解操作系统的使用情况、性能表现,为后续的优化和改进提供依据。检测操作系统中存在的漏洞和弱点,发现并解决潜在的安全风险,提高系统的安全防护能力等。
例如:当LINNUX没有启动NX保护机制的时候,攻击者就可利shellcode,在栈溢出的时进行注入,在返回地址处填充上伪造地址,当函数返回时,就会跳到shellcode的位置。某服务器忽略了打关键安全补丁,导致Windows操作系统中Print Spooler服务中的远程执行代码遭到PrintNightmare漏洞的攻击,直接危机数据资产安全。
四、资产测绘在IP地址方面的应用
识别并记录组织内部所有的IP地址,包括静态IP和动态IP,以及它们的分配情况和使用状态。有助于建立完整的IP地址资产清单,为后续的管理和优化提供基础数据。发现高危IP,即刻进行封禁,减少攻击面。同时对每个IP地址的历史行为(包括连接模式、流量模式等)的分析,黑名单与白名单对比过滤等技术,检测IP地址是否存在安全隐患,如被恶意占用、滥用或遭受攻击等,提供相应的安全建议。
五、资产测绘在端口方面的应用
探测和识别出组织内所有网络设备的端口信息,包括物理端口和虚拟端口。有助于了解自身网络设备的端口使用情况,为后续的安全管理和优化提供基础数据。对端口的使用情况监测和分析,最好将通用端口进行更改,以增加攻击的难度,发现端口的高危或闲置现象,即刻进行关闭,降低攻击面。同时,检查端口的配置和使用是否符合相关要求,避免因违规操作而引发的安全风险。通过对端口的异常活动、通信协议、流量模式、日志等进行分析,检测端口是否存在安全隐患,如未经授权的访问、恶意软件的利用等。
例如:目前常用的端口扫描工具很多,有Nmap、Unicornscan、Masscan等,使用Nmap通过对靶机执行“Nmap scan report for”命令等,即可扫描出目标开放的端口,再将通用端口与弱传输协议对应,通过默认账号登录,窃取相应文件。同时还可通过WEB通用端口进入,利用漏洞进行攻击。
六、资产测绘在WEB方面的应用
发现并识别出所有的Web资产,包括网站、Web应用、API接口等。生成Web资产清单,为后续的安全评估和管理提供基础数据。检测Web应用中可能泄露的敏感信息,如用户密码、数据库连接字符串、API密钥等。管理Web应用的SSL/TLS证书,确保证书的有效性和安全性。检测Web应用中使用的第三方组件和库,并与已知的安全漏洞数据库进行比对,发现潜在的安全风险,后续的基线安全管理(补丁修复、安全管理等)提供基础依据。全面梳理域名资产,包括域名的数量、类型、使用情况等。对不用的域名及时进行注销、是否启用了HTTPS、是否配置了合适的TLS/SSL证书等,确保域名配置正确且安全。检查域名是否存在漏洞、是否被用于恶意活动,如恶意软件、钓鱼攻击等。
以WEB上传漏洞为例,当没有启用HTTPS安全协议,而只采用HTTP明文传输协议,同时服务器都对上传文件的后缀名进行有效限制,也未将上传文件的目录设置为不可访问、执行等,攻击端的恶意指令脚本文件类型被写入服务器后,一旦访问该文件,其中的恶意指令就会被执行。
七、资产测绘在办公终端方面的应用
可以清晰地了解办公终端软硬件资产状况和使用情况,及时发现潜在的安全风险和不当操作,并采取相应的措施进行修复、保护和干预措施。提升网络安全性,防止因设备漏洞、配置不当、不当使用等而导致的安全事件。
例如:利用私接的路由器,容易成为“攻击跳板”。攻击者利用Wi-Fi仿冒,在目标用户与其目标服务器之间建立虚假连接,从而窃取用户敏感信息。
八、资产测绘在数据安全方面的应用
通过资产测绘,全面了解组织在网络中的数据资产,包括数据库、大数据平台、文件服务器、数据存储等,形成数据资产清单。利用数据资产清对数据进行分级分类,梳理可能的重要敏感数据安全风险区域,同时为制定更加精准的数据安全保护措施、数据处理流程、数据使用策略提供依据,促使数据业务更加高效和安全运作。
例如,复杂的数据调用路径意味着攻击者有更多的入口点来尝试突破系统的安全防线,每个额外的入口都可能成为潜在的安全漏洞,常见的攻击方式有接口攻击(如API接口漏洞利用)、路径遍历攻击等。
九、网络资产指纹的应用
在实际管理中,为方便对网络设备进行管理,可以采用网络资产指纹技术。网络资产指纹技术是指利用资产指纹信息在对网络设备进行识别、分类、监控和保护的技术与实践。通过对网络中的设备进行扫描,提取其特征信息生成资产指纹,并与指纹库中的信息进行比对,生成网络资产的“身份证”,帮助安全专业人员获取更多关于设备详细信息(如生产商信息、操作系统、设备用途、配置情况等),是“供应链安全”理念的一种拓展应用,更有利于后续的漏洞情报收集。
综上所述,在日常网络安全运营中,老旧信息系统、测试系统、老旧设备等无人看管是攻击的主要目标,造成攻击的主要因素归结为“网络和信息资产不清晰,保护控制不到位,漏洞修复不及时,暴露面不收敛”,当我们借助网络空间资产测绘“摸清家底、梳理威胁”,提出完善的网络信息安全整体规划,设计有效的网络信息保障方案、制定并落实安全运行维护标准规范,逐步完善基础安全策略后,攻击者攻击的难度就相对增加,我们的风险也因此降低。