基于測(cè)繪技術(shù)的網(wǎng)絡(luò)資產(chǎn)安全管理研究

【摘   要】 本文通過(guò)實(shí)際案例闡述了基于測(cè)繪技術(shù)的網(wǎng)絡(luò)資產(chǎn)管理在網(wǎng)絡(luò)安全中的重要作用，重點(diǎn)分析了基于測(cè)繪技術(shù)的網(wǎng)絡(luò)資產(chǎn)管理系統(tǒng)在網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警方面的核心能力，并提出基于測(cè)繪技術(shù)的融合網(wǎng)絡(luò)資產(chǎn)管理系統(tǒng)與流量監(jiān)測(cè)技術(shù)、云防御技術(shù)、蜜罐主動(dòng)誘捕技術(shù)等于一體的網(wǎng)絡(luò)資產(chǎn)安全管理體系。

【關(guān)鍵詞】 網(wǎng)絡(luò)資產(chǎn)探測(cè) 資產(chǎn)指紋識(shí)別 MeowBot攻擊

1 引言

當(dāng)前，大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等新技術(shù)不斷顯現(xiàn)，人類社會(huì)加速進(jìn)入數(shù)字經(jīng)濟(jì)時(shí)代。在網(wǎng)絡(luò)中運(yùn)行的數(shù)據(jù)成為全球科技和產(chǎn)業(yè)競(jìng)爭(zhēng)的重要制高點(diǎn)，其重要性堪比石油資源。數(shù)據(jù)資源及其物理載體是網(wǎng)絡(luò)資產(chǎn)管理的主要對(duì)象，網(wǎng)絡(luò)資產(chǎn)管理的安全性直接決定了數(shù)據(jù)資源的安全性，所以網(wǎng)絡(luò)資產(chǎn)管理中的安全問(wèn)題舉足輕重。網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪數(shù)據(jù)中的網(wǎng)絡(luò)資產(chǎn)情報(bào)為構(gòu)建網(wǎng)絡(luò)資產(chǎn)安全管理提供了豐富的大數(shù)據(jù)資源和基礎(chǔ)能力，包括通過(guò)網(wǎng)絡(luò)資產(chǎn)測(cè)繪發(fā)現(xiàn)攻擊者資產(chǎn)，為網(wǎng)絡(luò)攻擊行為的安全防御前置提供重要的技術(shù)基礎(chǔ)；通過(guò)網(wǎng)絡(luò)資產(chǎn)測(cè)繪實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)攻擊事件的全過(guò)程，對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行有效的預(yù)警和處置等。

2 網(wǎng)絡(luò)資產(chǎn)測(cè)繪發(fā)現(xiàn)攻擊者資產(chǎn)

從攻擊者視角看，網(wǎng)絡(luò)攻擊一般是從攻擊對(duì)象的資產(chǎn)情報(bào)收集開始的。社會(huì)組織機(jī)構(gòu)通過(guò)互聯(lián)網(wǎng)向社會(huì)開放各種服務(wù)，這些服務(wù)同時(shí)也暴露了組織機(jī)構(gòu)的網(wǎng)絡(luò)資產(chǎn)，給攻擊者提供了重要的資產(chǎn)情報(bào)。這些情報(bào)大致分為以下4個(gè)方面：一是資產(chǎn)暴露信息，包括IP信息、域名信息、服務(wù)信息、人員身份信息等；二是資產(chǎn)指紋信息，包括服務(wù)信息指紋、設(shè)備指紋、應(yīng)用系統(tǒng)指紋等；三是資產(chǎn)漏洞信息，包括操作系統(tǒng)漏洞、Web服務(wù)漏洞、數(shù)據(jù)庫(kù)漏洞、應(yīng)用程序漏洞等；四是資產(chǎn)失陷信息，包括資產(chǎn)被入侵的相關(guān)信息，如篡改、暗鏈、掛馬等。

上述信息主要通過(guò)全球網(wǎng)絡(luò)空間搜索引擎進(jìn)行收集。一般來(lái)說(shuō)，攻擊者一方面需要根據(jù)其掌握的攻擊技術(shù)特征對(duì)網(wǎng)絡(luò)空間的相關(guān)資產(chǎn)進(jìn)行搜索，而后確定攻擊目標(biāo)和制定攻擊路線并發(fā)起攻擊，重要目標(biāo)的網(wǎng)絡(luò)資產(chǎn)情報(bào)是攻擊者最為關(guān)注的信息；另一方面，攻擊者也要利用一些網(wǎng)絡(luò)基礎(chǔ)設(shè)施包括攻擊工具、釣魚網(wǎng)站、C2服務(wù)器等實(shí)施攻擊。針對(duì)攻擊者的攻擊方法和特性，可以利用網(wǎng)絡(luò)資產(chǎn)測(cè)繪技術(shù)分析攻擊者的網(wǎng)絡(luò)資產(chǎn)測(cè)繪特征，并通過(guò)網(wǎng)絡(luò)空間測(cè)繪引擎發(fā)現(xiàn)攻擊者的網(wǎng)絡(luò)資產(chǎn)，為網(wǎng)絡(luò)安全防御前置和預(yù)警提供重要的技術(shù)支撐。

以下簡(jiǎn)單介紹海蓮花APT組織釣魚網(wǎng)站的測(cè)繪特征：

（1）通過(guò)攻擊樣本提取海蓮花APT組織釣魚網(wǎng)站，如thamcungbisu.org、baodachieu.com等；

（2）對(duì)比分析網(wǎng)站測(cè)繪特征；

（3）分析釣魚網(wǎng)站的測(cè)繪特征并根據(jù)以上測(cè)繪數(shù)據(jù)可以組合為如下測(cè)繪特征：

（4）利用網(wǎng)絡(luò)資產(chǎn)測(cè)繪搜索引擎搜索發(fā)現(xiàn)新的釣魚網(wǎng)站，如表1所示。

這些新發(fā)現(xiàn)的釣魚網(wǎng)站域名和IP等資產(chǎn)特征，可以進(jìn)一步應(yīng)用到網(wǎng)絡(luò)流量監(jiān)測(cè)和云防御平臺(tái)進(jìn)行安全監(jiān)測(cè)和預(yù)警，還可以用于對(duì)攻擊者的溯源取證。當(dāng)前，APT攻擊已經(jīng)成為了網(wǎng)絡(luò)安全的主要威脅來(lái)源，利用網(wǎng)絡(luò)空間測(cè)繪技術(shù)捕捉其網(wǎng)絡(luò)資產(chǎn)特征進(jìn)行安全監(jiān)測(cè)和預(yù)警，將成為反APT攻擊的重要技術(shù)手段。

3 網(wǎng)絡(luò)資產(chǎn)管理監(jiān)測(cè)預(yù)警網(wǎng)絡(luò)攻擊行為

從防御者視角看，網(wǎng)絡(luò)資產(chǎn)既是網(wǎng)絡(luò)安全保護(hù)的主要目標(biāo)，也是與網(wǎng)絡(luò)攻擊者進(jìn)行防御角力的主戰(zhàn)場(chǎng)。為適應(yīng)網(wǎng)絡(luò)安全發(fā)展要求，基于測(cè)繪技術(shù)的網(wǎng)絡(luò)資產(chǎn)管理應(yīng)具備以下主要技術(shù)能力：一是網(wǎng)絡(luò)資產(chǎn)探測(cè)。網(wǎng)絡(luò)資產(chǎn)具有較強(qiáng)的技術(shù)性，手工統(tǒng)計(jì)難以適應(yīng)。利用網(wǎng)絡(luò)資產(chǎn)主動(dòng)探測(cè)技術(shù)可以持續(xù)不間斷地對(duì)所屬網(wǎng)絡(luò)資產(chǎn)進(jìn)行掃描，建立動(dòng)態(tài)資產(chǎn)清單。二是資產(chǎn)指紋識(shí)別。利用探測(cè)數(shù)據(jù)對(duì)所屬資產(chǎn)的操作系統(tǒng)、設(shè)備類型、端口/服務(wù)、應(yīng)用組件等進(jìn)行識(shí)別，掌握網(wǎng)絡(luò)資產(chǎn)的技術(shù)屬性，支持與漏洞信息關(guān)聯(lián)定位，對(duì)可疑的網(wǎng)絡(luò)安全威脅資產(chǎn)進(jìn)行監(jiān)測(cè)和預(yù)警。三是資產(chǎn)歸屬標(biāo)注。對(duì)所屬網(wǎng)絡(luò)資產(chǎn)與組織架構(gòu)內(nèi)人員和責(zé)任人進(jìn)行綁定，支持網(wǎng)絡(luò)資產(chǎn)的行為規(guī)律分析，監(jiān)測(cè)發(fā)現(xiàn)異常網(wǎng)絡(luò)行為。四是資產(chǎn)漏洞檢測(cè)。利用公開的漏洞信息庫(kù)，對(duì)所屬資產(chǎn)的漏洞進(jìn)行探測(cè)掃描。特別是要具備1Day漏洞驗(yàn)證掃描能力，快速實(shí)現(xiàn)漏洞資產(chǎn)定位并進(jìn)行響應(yīng)和安全處置。

2020年4月，MeowBot攻擊利用ElasticSearch及MongoDB等數(shù)據(jù)庫(kù)的未授權(quán)訪問(wèn)漏洞實(shí)施攻擊，網(wǎng)絡(luò)測(cè)繪引擎通過(guò)資產(chǎn)探測(cè)實(shí)現(xiàn)了對(duì)該攻擊的全過(guò)程跟蹤與監(jiān)測(cè)。

（1）探測(cè)發(fā)現(xiàn)全球被攻擊網(wǎng)絡(luò)資產(chǎn)。探測(cè)發(fā)現(xiàn)全球存在超62000個(gè)Elasticsearch服務(wù)器可被未授權(quán)訪問(wèn)，其中被植入“nightlionsecurity.com”空索引15335個(gè)。

（2）發(fā)現(xiàn)新的攻擊“追隨者”。利用測(cè)繪引擎探測(cè)發(fā)現(xiàn)，部分被攻擊主機(jī)除了被植入“nightlionsecurity.com”空索引以外，還出現(xiàn)了被植入“i_want_2_die”或者“sm1l3y_gang”等空索引的現(xiàn)象。該攻擊出現(xiàn)了新的追隨者。其中“i_want_2_die”空索引173個(gè)，“sm1l3y_gang”空索引91個(gè)。

（3）揭示攻擊者銷毀ES原有數(shù)據(jù)的破壞行為特征。測(cè)繪引擎探測(cè)發(fā)現(xiàn)，攻擊者銷毀破壞ES原有數(shù)據(jù)后，會(huì)添加隨機(jī)字符加后綴為“-meow”的索引。

（4）發(fā)現(xiàn)MongoDB數(shù)據(jù)庫(kù)被MeowBot攻擊。2020年7月探測(cè)發(fā)現(xiàn)全球2317個(gè)MongoDB服務(wù)被meowbot攻擊。

（5）揭露攻擊意圖，1500個(gè)目標(biāo)被勒索。2020年7月，探測(cè)發(fā)現(xiàn)攻擊者宣稱被攻擊方必須在7天內(nèi)與其取得聯(lián)系，否則直接公開已經(jīng)被下載的相關(guān)敏感數(shù)據(jù)。

利用網(wǎng)絡(luò)空間測(cè)繪主動(dòng)探測(cè)技術(shù)可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資產(chǎn)相關(guān)安全事件的全過(guò)程跟蹤和監(jiān)測(cè)，并發(fā)現(xiàn)安全事件不同發(fā)展階段的重要特征，從而揭示其攻擊目標(biāo)、技術(shù)手段、行為特征和意圖等。網(wǎng)絡(luò)攻防是一個(gè)動(dòng)態(tài)過(guò)程，對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行動(dòng)態(tài)管理是監(jiān)測(cè)和預(yù)防網(wǎng)絡(luò)安全威脅的基礎(chǔ)。

4 構(gòu)建多位一體的網(wǎng)絡(luò)資產(chǎn)安全管理體系

僅僅依靠網(wǎng)絡(luò)資產(chǎn)管理不可能解決所有網(wǎng)絡(luò)安全問(wèn)題，但立足于測(cè)繪技術(shù)的網(wǎng)絡(luò)資產(chǎn)管理可以構(gòu)建更為開放、主動(dòng)和動(dòng)態(tài)的多位一體網(wǎng)絡(luò)資產(chǎn)安全管理系統(tǒng)，可以與其他安全技術(shù)包括網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)、云防御技術(shù)和蜜罐主動(dòng)誘捕技術(shù)等進(jìn)行有機(jī)融合，構(gòu)建更有效的網(wǎng)絡(luò)安全防御機(jī)制。

4.1 資產(chǎn)信息是威脅情報(bào)的重要組成部分

威脅情報(bào)離不開資產(chǎn)信息。一是安全防護(hù)和安全威脅的目標(biāo)都是網(wǎng)絡(luò)資產(chǎn)。網(wǎng)絡(luò)安全漏洞總是與一定的網(wǎng)絡(luò)資產(chǎn)相關(guān)聯(lián)，利用漏洞掃描工具和測(cè)繪技術(shù)可以實(shí)現(xiàn)漏洞資產(chǎn)的快速定位，提供精準(zhǔn)的安全威脅情況。二是安全攻擊技術(shù)同樣離不開網(wǎng)絡(luò)資產(chǎn)，這類資產(chǎn)常稱為惡意資產(chǎn)，如APT的釣魚網(wǎng)站、C2服務(wù)器、DDoS攻擊的源IP等。通過(guò)流量分析檢測(cè)識(shí)別這些惡意資產(chǎn)仍是目前安全防御的重要手段。三是攻擊受害者同樣也表現(xiàn)為網(wǎng)絡(luò)資產(chǎn)的某種改變，如上述案例MeowBot攻擊中數(shù)據(jù)庫(kù)資產(chǎn)被篡改。識(shí)別受害資產(chǎn)特征也是監(jiān)測(cè)網(wǎng)絡(luò)攻擊行為的重要技術(shù)方法。沒有資產(chǎn)信息的威脅情報(bào)是不準(zhǔn)確的，安全威脅的資產(chǎn)信息越精確，威脅情報(bào)的針對(duì)性和有效性也越強(qiáng)�，F(xiàn)代網(wǎng)絡(luò)空間測(cè)繪技術(shù)可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資產(chǎn)信息的主動(dòng)探測(cè)和精確識(shí)別能力，包括IP和域名信息、設(shè)備類型和廠商、軟件及版本、端口和服務(wù)組件、證書和用戶等信息。這些資產(chǎn)信息在網(wǎng)絡(luò)攻防實(shí)戰(zhàn)中占據(jù)十分重要的地位，利用測(cè)繪技術(shù)對(duì)這些資產(chǎn)信息進(jìn)行有效的安全管理，是掌握網(wǎng)絡(luò)安全主動(dòng)權(quán)的重要環(huán)節(jié)。

4.2 利用資產(chǎn)信息實(shí)現(xiàn)多種防御技術(shù)的統(tǒng)一和協(xié)同

目前，安全防御技術(shù)種類繁多。目前多采用網(wǎng)絡(luò)流量分析檢測(cè)技術(shù)，主要利用流量旁路設(shè)備，對(duì)網(wǎng)絡(luò)流量進(jìn)行分析，對(duì)已知威脅和網(wǎng)絡(luò)異常行為構(gòu)建模型進(jìn)行檢測(cè)和快速鑒別，包括C&C通信、DDoS 攻擊、SSH/FTP暴力破解、SQL注入、DNS/ARP污染、漏洞掃描和漏洞攻擊、內(nèi)網(wǎng)平移、惡意軟件升級(jí)、隱蔽信道等網(wǎng)絡(luò)惡意行為；對(duì)各類網(wǎng)站、Web Mail、OA系統(tǒng)、CRM系統(tǒng)等進(jìn)行流量過(guò)濾，實(shí)現(xiàn)防DDoS攻擊、防黑客CC攻擊、防后門、防數(shù)據(jù)竊取等安全防御技術(shù)；基于流量交互實(shí)現(xiàn)蜜罐等主動(dòng)誘捕技術(shù)等。這些技術(shù)各有所長(zhǎng)但都具有一定的局限性。要實(shí)現(xiàn)不同技術(shù)的威脅情報(bào)信息的快速共享，形成協(xié)同防御能力還是一大難題。

資產(chǎn)信息恰恰具有聯(lián)結(jié)各種防御技術(shù)的核心技術(shù)屬性。利用測(cè)繪技術(shù)可以對(duì)各類資產(chǎn)進(jìn)行精確的識(shí)別和標(biāo)注。對(duì)內(nèi)可以盤點(diǎn)所屬資產(chǎn)，監(jiān)測(cè)其動(dòng)態(tài)變化；對(duì)外可以主動(dòng)識(shí)別和監(jiān)測(cè)惡意資產(chǎn)的動(dòng)態(tài)，發(fā)現(xiàn)已經(jīng)受害資產(chǎn)的特征，進(jìn)行預(yù)警。通過(guò)資產(chǎn)信息可以實(shí)現(xiàn)多種防御技術(shù)的協(xié)同。例如，對(duì)于新發(fā)現(xiàn)的APT釣魚網(wǎng)站信息，可以與流量分析安全技術(shù)結(jié)合，形成有效的檢測(cè)和防御技術(shù)。目前云技術(shù)的應(yīng)用和發(fā)展，還可以構(gòu)建聚合漏洞指紋庫(kù)、網(wǎng)絡(luò)空間測(cè)繪信息、全球網(wǎng)絡(luò)攻擊追蹤、業(yè)務(wù)系統(tǒng)安全輿情監(jiān)測(cè)等多維度動(dòng)態(tài)防御矩陣，實(shí)現(xiàn)“一網(wǎng)攻擊、全網(wǎng)防護(hù)”的云協(xié)同防御能力。

4.3 測(cè)繪技術(shù)助力前置防御能力

以上所述的網(wǎng)絡(luò)安全防御技術(shù)主要基于流量分析。流量數(shù)據(jù)在獲取能力上來(lái)說(shuō)是被動(dòng)的，在時(shí)間和空間上都具有較大局限性。時(shí)間上表現(xiàn)為只能在攻擊行為進(jìn)行時(shí)才可能分析發(fā)現(xiàn)，事前和事后均難以奏效；在空間上，無(wú)法感知受控流量之外的安全威脅，對(duì)這些威脅的監(jiān)測(cè)預(yù)警能力相對(duì)薄弱。利用主動(dòng)探測(cè)測(cè)繪技術(shù)可以較好地彌補(bǔ)流量分析這方面的不足。在全球范圍內(nèi)，對(duì)攻擊者的攻擊行動(dòng)進(jìn)行全過(guò)程的跟蹤和監(jiān)測(cè)，及時(shí)掌握攻擊行為的變化過(guò)程，進(jìn)而提供預(yù)警和防御技術(shù)路線。網(wǎng)絡(luò)空間測(cè)繪技術(shù)具有主動(dòng)性，可以根據(jù)需要對(duì)網(wǎng)絡(luò)空間主要網(wǎng)絡(luò)目標(biāo)進(jìn)行探測(cè)識(shí)別；同時(shí)具有實(shí)時(shí)性，通過(guò)周期性的持續(xù)探測(cè)可以實(shí)現(xiàn)對(duì)重點(diǎn)目標(biāo)和事件的有效監(jiān)測(cè)；還具有全球性，對(duì)等于網(wǎng)絡(luò)攻擊的無(wú)國(guó)界特征，測(cè)繪技術(shù)同樣可以覆蓋全球。這些優(yōu)勢(shì)可以彌補(bǔ)基于流量分析安全技術(shù)的局限性，真正實(shí)現(xiàn)具備敵動(dòng)我動(dòng)、敵未動(dòng)我先動(dòng)的前置防御能力。

5 結(jié)語(yǔ)

主動(dòng)探測(cè)技術(shù)是網(wǎng)絡(luò)空間測(cè)繪的核心技術(shù)。綜合利用包括主動(dòng)探測(cè)在內(nèi)的資產(chǎn)測(cè)繪技術(shù)和數(shù)據(jù)資源構(gòu)建多位一體的網(wǎng)絡(luò)資產(chǎn)管理體系，更有利于及時(shí)掌握網(wǎng)絡(luò)空間安全態(tài)勢(shì)的發(fā)展趨勢(shì)，在動(dòng)態(tài)中形成監(jiān)測(cè)、預(yù)警、溯源取證等安全防御能力。網(wǎng)絡(luò)空間測(cè)繪從根本上是服務(wù)于網(wǎng)絡(luò)空間安全的，網(wǎng)絡(luò)空間測(cè)繪技術(shù)也是在網(wǎng)絡(luò)安全事件的對(duì)抗中不斷發(fā)展的。近年來(lái)，網(wǎng)絡(luò)空間測(cè)繪領(lǐng)域提出并不斷推廣“動(dòng)態(tài)測(cè)繪”思想，目標(biāo)在于充分發(fā)揮網(wǎng)絡(luò)測(cè)繪平臺(tái)的網(wǎng)絡(luò)資產(chǎn)測(cè)繪數(shù)據(jù)能力，在實(shí)戰(zhàn)對(duì)抗中不斷豐富攻擊者和攻擊行為的測(cè)繪指紋特征，進(jìn)一步形成對(duì)網(wǎng)絡(luò)安全事件的監(jiān)測(cè)預(yù)警能力，提升網(wǎng)絡(luò)安全前置防御能力。

 

（原載于《保密科學(xué)技術(shù)》雜志2021年3月刊）