基于測繪技術(shù)的網(wǎng)絡(luò)資產(chǎn)安全管理研究

【摘   要】 本文通過實(shí)際案例闡述了基于測繪技術(shù)的網(wǎng)絡(luò)資產(chǎn)管理在網(wǎng)絡(luò)安全中的重要作用，重點(diǎn)分析了基于測繪技術(shù)的網(wǎng)絡(luò)資產(chǎn)管理系統(tǒng)在網(wǎng)絡(luò)安全監(jiān)測預(yù)警方面的核心能力，并提出基于測繪技術(shù)的融合網(wǎng)絡(luò)資產(chǎn)管理系統(tǒng)與流量監(jiān)測技術(shù)、云防御技術(shù)、蜜罐主動誘捕技術(shù)等于一體的網(wǎng)絡(luò)資產(chǎn)安全管理體系。

【關(guān)鍵詞】 網(wǎng)絡(luò)資產(chǎn)探測 資產(chǎn)指紋識別 MeowBot攻擊

1 引言

當(dāng)前，大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等新技術(shù)不斷顯現(xiàn)，人類社會加速進(jìn)入數(shù)字經(jīng)濟(jì)時代。在網(wǎng)絡(luò)中運(yùn)行的數(shù)據(jù)成為全球科技和產(chǎn)業(yè)競爭的重要制高點(diǎn)，其重要性堪比石油資源。數(shù)據(jù)資源及其物理載體是網(wǎng)絡(luò)資產(chǎn)管理的主要對象，網(wǎng)絡(luò)資產(chǎn)管理的安全性直接決定了數(shù)據(jù)資源的安全性，所以網(wǎng)絡(luò)資產(chǎn)管理中的安全問題舉足輕重。網(wǎng)絡(luò)空間資產(chǎn)測繪數(shù)據(jù)中的網(wǎng)絡(luò)資產(chǎn)情報為構(gòu)建網(wǎng)絡(luò)資產(chǎn)安全管理提供了豐富的大數(shù)據(jù)資源和基礎(chǔ)能力，包括通過網(wǎng)絡(luò)資產(chǎn)測繪發(fā)現(xiàn)攻擊者資產(chǎn)，為網(wǎng)絡(luò)攻擊行為的安全防御前置提供重要的技術(shù)基礎(chǔ)；通過網(wǎng)絡(luò)資產(chǎn)測繪實(shí)時監(jiān)測網(wǎng)絡(luò)攻擊事件的全過程，對網(wǎng)絡(luò)攻擊行為進(jìn)行有效的預(yù)警和處置等。

2 網(wǎng)絡(luò)資產(chǎn)測繪發(fā)現(xiàn)攻擊者資產(chǎn)

從攻擊者視角看，網(wǎng)絡(luò)攻擊一般是從攻擊對象的資產(chǎn)情報收集開始的。社會組織機(jī)構(gòu)通過互聯(lián)網(wǎng)向社會開放各種服務(wù)，這些服務(wù)同時也暴露了組織機(jī)構(gòu)的網(wǎng)絡(luò)資產(chǎn)，給攻擊者提供了重要的資產(chǎn)情報。這些情報大致分為以下4個方面：一是資產(chǎn)暴露信息，包括IP信息、域名信息、服務(wù)信息、人員身份信息等；二是資產(chǎn)指紋信息，包括服務(wù)信息指紋、設(shè)備指紋、應(yīng)用系統(tǒng)指紋等；三是資產(chǎn)漏洞信息，包括操作系統(tǒng)漏洞、Web服務(wù)漏洞、數(shù)據(jù)庫漏洞、應(yīng)用程序漏洞等；四是資產(chǎn)失陷信息，包括資產(chǎn)被入侵的相關(guān)信息，如篡改、暗鏈、掛馬等。

上述信息主要通過全球網(wǎng)絡(luò)空間搜索引擎進(jìn)行收集。一般來說，攻擊者一方面需要根據(jù)其掌握的攻擊技術(shù)特征對網(wǎng)絡(luò)空間的相關(guān)資產(chǎn)進(jìn)行搜索，而后確定攻擊目標(biāo)和制定攻擊路線并發(fā)起攻擊，重要目標(biāo)的網(wǎng)絡(luò)資產(chǎn)情報是攻擊者最為關(guān)注的信息；另一方面，攻擊者也要利用一些網(wǎng)絡(luò)基礎(chǔ)設(shè)施包括攻擊工具、釣魚網(wǎng)站、C2服務(wù)器等實(shí)施攻擊。針對攻擊者的攻擊方法和特性，可以利用網(wǎng)絡(luò)資產(chǎn)測繪技術(shù)分析攻擊者的網(wǎng)絡(luò)資產(chǎn)測繪特征，并通過網(wǎng)絡(luò)空間測繪引擎發(fā)現(xiàn)攻擊者的網(wǎng)絡(luò)資產(chǎn)，為網(wǎng)絡(luò)安全防御前置和預(yù)警提供重要的技術(shù)支撐。

以下簡單介紹海蓮花APT組織釣魚網(wǎng)站的測繪特征：

（1）通過攻擊樣本提取海蓮花APT組織釣魚網(wǎng)站，如thamcungbisu.org、baodachieu.com等；

（2）對比分析網(wǎng)站測繪特征；

（3）分析釣魚網(wǎng)站的測繪特征并根據(jù)以上測繪數(shù)據(jù)可以組合為如下測繪特征：

（4）利用網(wǎng)絡(luò)資產(chǎn)測繪搜索引擎搜索發(fā)現(xiàn)新的釣魚網(wǎng)站，如表1所示。

這些新發(fā)現(xiàn)的釣魚網(wǎng)站域名和IP等資產(chǎn)特征，可以進(jìn)一步應(yīng)用到網(wǎng)絡(luò)流量監(jiān)測和云防御平臺進(jìn)行安全監(jiān)測和預(yù)警，還可以用于對攻擊者的溯源取證。當(dāng)前，APT攻擊已經(jīng)成為了網(wǎng)絡(luò)安全的主要威脅來源，利用網(wǎng)絡(luò)空間測繪技術(shù)捕捉其網(wǎng)絡(luò)資產(chǎn)特征進(jìn)行安全監(jiān)測和預(yù)警，將成為反APT攻擊的重要技術(shù)手段。

3 網(wǎng)絡(luò)資產(chǎn)管理監(jiān)測預(yù)警網(wǎng)絡(luò)攻擊行為

從防御者視角看，網(wǎng)絡(luò)資產(chǎn)既是網(wǎng)絡(luò)安全保護(hù)的主要目標(biāo)，也是與網(wǎng)絡(luò)攻擊者進(jìn)行防御角力的主戰(zhàn)場。為適應(yīng)網(wǎng)絡(luò)安全發(fā)展要求，基于測繪技術(shù)的網(wǎng)絡(luò)資產(chǎn)管理應(yīng)具備以下主要技術(shù)能力：一是網(wǎng)絡(luò)資產(chǎn)探測。網(wǎng)絡(luò)資產(chǎn)具有較強(qiáng)的技術(shù)性，手工統(tǒng)計(jì)難以適應(yīng)。利用網(wǎng)絡(luò)資產(chǎn)主動探測技術(shù)可以持續(xù)不間斷地對所屬網(wǎng)絡(luò)資產(chǎn)進(jìn)行掃描，建立動態(tài)資產(chǎn)清單。二是資產(chǎn)指紋識別。利用探測數(shù)據(jù)對所屬資產(chǎn)的操作系統(tǒng)、設(shè)備類型、端口/服務(wù)、應(yīng)用組件等進(jìn)行識別，掌握網(wǎng)絡(luò)資產(chǎn)的技術(shù)屬性，支持與漏洞信息關(guān)聯(lián)定位，對可疑的網(wǎng)絡(luò)安全威脅資產(chǎn)進(jìn)行監(jiān)測和預(yù)警。三是資產(chǎn)歸屬標(biāo)注。對所屬網(wǎng)絡(luò)資產(chǎn)與組織架構(gòu)內(nèi)人員和責(zé)任人進(jìn)行綁定，支持網(wǎng)絡(luò)資產(chǎn)的行為規(guī)律分析，監(jiān)測發(fā)現(xiàn)異常網(wǎng)絡(luò)行為。四是資產(chǎn)漏洞檢測。利用公開的漏洞信息庫，對所屬資產(chǎn)的漏洞進(jìn)行探測掃描。特別是要具備1Day漏洞驗(yàn)證掃描能力，快速實(shí)現(xiàn)漏洞資產(chǎn)定位并進(jìn)行響應(yīng)和安全處置。

2020年4月，MeowBot攻擊利用ElasticSearch及MongoDB等數(shù)據(jù)庫的未授權(quán)訪問漏洞實(shí)施攻擊，網(wǎng)絡(luò)測繪引擎通過資產(chǎn)探測實(shí)現(xiàn)了對該攻擊的全過程跟蹤與監(jiān)測。

（1）探測發(fā)現(xiàn)全球被攻擊網(wǎng)絡(luò)資產(chǎn)。探測發(fā)現(xiàn)全球存在超62000個Elasticsearch服務(wù)器可被未授權(quán)訪問，其中被植入“nightlionsecurity.com”空索引15335個。

（2）發(fā)現(xiàn)新的攻擊“追隨者”。利用測繪引擎探測發(fā)現(xiàn)，部分被攻擊主機(jī)除了被植入“nightlionsecurity.com”空索引以外，還出現(xiàn)了被植入“i_want_2_die”或者“sm1l3y_gang”等空索引的現(xiàn)象。該攻擊出現(xiàn)了新的追隨者。其中“i_want_2_die”空索引173個，“sm1l3y_gang”空索引91個。

（3）揭示攻擊者銷毀ES原有數(shù)據(jù)的破壞行為特征。測繪引擎探測發(fā)現(xiàn)，攻擊者銷毀破壞ES原有數(shù)據(jù)后，會添加隨機(jī)字符加后綴為“-meow”的索引。

（4）發(fā)現(xiàn)MongoDB數(shù)據(jù)庫被MeowBot攻擊。2020年7月探測發(fā)現(xiàn)全球2317個MongoDB服務(wù)被meowbot攻擊。

（5）揭露攻擊意圖，1500個目標(biāo)被勒索。2020年7月，探測發(fā)現(xiàn)攻擊者宣稱被攻擊方必須在7天內(nèi)與其取得聯(lián)系，否則直接公開已經(jīng)被下載的相關(guān)敏感數(shù)據(jù)。

利用網(wǎng)絡(luò)空間測繪主動探測技術(shù)可以實(shí)現(xiàn)對網(wǎng)絡(luò)資產(chǎn)相關(guān)安全事件的全過程跟蹤和監(jiān)測，并發(fā)現(xiàn)安全事件不同發(fā)展階段的重要特征，從而揭示其攻擊目標(biāo)、技術(shù)手段、行為特征和意圖等。網(wǎng)絡(luò)攻防是一個動態(tài)過程，對網(wǎng)絡(luò)資產(chǎn)進(jìn)行動態(tài)管理是監(jiān)測和預(yù)防網(wǎng)絡(luò)安全威脅的基礎(chǔ)。

4 構(gòu)建多位一體的網(wǎng)絡(luò)資產(chǎn)安全管理體系

僅僅依靠網(wǎng)絡(luò)資產(chǎn)管理不可能解決所有網(wǎng)絡(luò)安全問題，但立足于測繪技術(shù)的網(wǎng)絡(luò)資產(chǎn)管理可以構(gòu)建更為開放、主動和動態(tài)的多位一體網(wǎng)絡(luò)資產(chǎn)安全管理系統(tǒng)，可以與其他安全技術(shù)包括網(wǎng)絡(luò)流量監(jiān)測技術(shù)、云防御技術(shù)和蜜罐主動誘捕技術(shù)等進(jìn)行有機(jī)融合，構(gòu)建更有效的網(wǎng)絡(luò)安全防御機(jī)制。

4.1 資產(chǎn)信息是威脅情報的重要組成部分

威脅情報離不開資產(chǎn)信息。一是安全防護(hù)和安全威脅的目標(biāo)都是網(wǎng)絡(luò)資產(chǎn)。網(wǎng)絡(luò)安全漏洞總是與一定的網(wǎng)絡(luò)資產(chǎn)相關(guān)聯(lián)，利用漏洞掃描工具和測繪技術(shù)可以實(shí)現(xiàn)漏洞資產(chǎn)的快速定位，提供精準(zhǔn)的安全威脅情況。二是安全攻擊技術(shù)同樣離不開網(wǎng)絡(luò)資產(chǎn)，這類資產(chǎn)常稱為惡意資產(chǎn)，如APT的釣魚網(wǎng)站、C2服務(wù)器、DDoS攻擊的源IP等。通過流量分析檢測識別這些惡意資產(chǎn)仍是目前安全防御的重要手段。三是攻擊受害者同樣也表現(xiàn)為網(wǎng)絡(luò)資產(chǎn)的某種改變，如上述案例MeowBot攻擊中數(shù)據(jù)庫資產(chǎn)被篡改。識別受害資產(chǎn)特征也是監(jiān)測網(wǎng)絡(luò)攻擊行為的重要技術(shù)方法。沒有資產(chǎn)信息的威脅情報是不準(zhǔn)確的，安全威脅的資產(chǎn)信息越精確，威脅情報的針對性和有效性也越強(qiáng)。現(xiàn)代網(wǎng)絡(luò)空間測繪技術(shù)可以實(shí)現(xiàn)對網(wǎng)絡(luò)資產(chǎn)信息的主動探測和精確識別能力，包括IP和域名信息、設(shè)備類型和廠商、軟件及版本、端口和服務(wù)組件、證書和用戶等信息。這些資產(chǎn)信息在網(wǎng)絡(luò)攻防實(shí)戰(zhàn)中占據(jù)十分重要的地位，利用測繪技術(shù)對這些資產(chǎn)信息進(jìn)行有效的安全管理，是掌握網(wǎng)絡(luò)安全主動權(quán)的重要環(huán)節(jié)。

4.2 利用資產(chǎn)信息實(shí)現(xiàn)多種防御技術(shù)的統(tǒng)一和協(xié)同

目前，安全防御技術(shù)種類繁多。目前多采用網(wǎng)絡(luò)流量分析檢測技術(shù)，主要利用流量旁路設(shè)備，對網(wǎng)絡(luò)流量進(jìn)行分析，對已知威脅和網(wǎng)絡(luò)異常行為構(gòu)建模型進(jìn)行檢測和快速鑒別，包括C&C通信、DDoS 攻擊、SSH/FTP暴力破解、SQL注入、DNS/ARP污染、漏洞掃描和漏洞攻擊、內(nèi)網(wǎng)平移、惡意軟件升級、隱蔽信道等網(wǎng)絡(luò)惡意行為；對各類網(wǎng)站、Web Mail、OA系統(tǒng)、CRM系統(tǒng)等進(jìn)行流量過濾，實(shí)現(xiàn)防DDoS攻擊、防黑客CC攻擊、防后門、防數(shù)據(jù)竊取等安全防御技術(shù)；基于流量交互實(shí)現(xiàn)蜜罐等主動誘捕技術(shù)等。這些技術(shù)各有所長但都具有一定的局限性。要實(shí)現(xiàn)不同技術(shù)的威脅情報信息的快速共享，形成協(xié)同防御能力還是一大難題。

資產(chǎn)信息恰恰具有聯(lián)結(jié)各種防御技術(shù)的核心技術(shù)屬性。利用測繪技術(shù)可以對各類資產(chǎn)進(jìn)行精確的識別和標(biāo)注。對內(nèi)可以盤點(diǎn)所屬資產(chǎn)，監(jiān)測其動態(tài)變化；對外可以主動識別和監(jiān)測惡意資產(chǎn)的動態(tài)，發(fā)現(xiàn)已經(jīng)受害資產(chǎn)的特征，進(jìn)行預(yù)警。通過資產(chǎn)信息可以實(shí)現(xiàn)多種防御技術(shù)的協(xié)同。例如，對于新發(fā)現(xiàn)的APT釣魚網(wǎng)站信息，可以與流量分析安全技術(shù)結(jié)合，形成有效的檢測和防御技術(shù)。目前云技術(shù)的應(yīng)用和發(fā)展，還可以構(gòu)建聚合漏洞指紋庫、網(wǎng)絡(luò)空間測繪信息、全球網(wǎng)絡(luò)攻擊追蹤、業(yè)務(wù)系統(tǒng)安全輿情監(jiān)測等多維度動態(tài)防御矩陣，實(shí)現(xiàn)“一網(wǎng)攻擊、全網(wǎng)防護(hù)”的云協(xié)同防御能力。

4.3 測繪技術(shù)助力前置防御能力

以上所述的網(wǎng)絡(luò)安全防御技術(shù)主要基于流量分析。流量數(shù)據(jù)在獲取能力上來說是被動的，在時間和空間上都具有較大局限性。時間上表現(xiàn)為只能在攻擊行為進(jìn)行時才可能分析發(fā)現(xiàn)，事前和事后均難以奏效；在空間上，無法感知受控流量之外的安全威脅，對這些威脅的監(jiān)測預(yù)警能力相對薄弱。利用主動探測測繪技術(shù)可以較好地彌補(bǔ)流量分析這方面的不足。在全球范圍內(nèi)，對攻擊者的攻擊行動進(jìn)行全過程的跟蹤和監(jiān)測，及時掌握攻擊行為的變化過程，進(jìn)而提供預(yù)警和防御技術(shù)路線。網(wǎng)絡(luò)空間測繪技術(shù)具有主動性，可以根據(jù)需要對網(wǎng)絡(luò)空間主要網(wǎng)絡(luò)目標(biāo)進(jìn)行探測識別；同時具有實(shí)時性，通過周期性的持續(xù)探測可以實(shí)現(xiàn)對重點(diǎn)目標(biāo)和事件的有效監(jiān)測；還具有全球性，對等于網(wǎng)絡(luò)攻擊的無國界特征，測繪技術(shù)同樣可以覆蓋全球。這些優(yōu)勢可以彌補(bǔ)基于流量分析安全技術(shù)的局限性，真正實(shí)現(xiàn)具備敵動我動、敵未動我先動的前置防御能力。

5 結(jié)語

主動探測技術(shù)是網(wǎng)絡(luò)空間測繪的核心技術(shù)。綜合利用包括主動探測在內(nèi)的資產(chǎn)測繪技術(shù)和數(shù)據(jù)資源構(gòu)建多位一體的網(wǎng)絡(luò)資產(chǎn)管理體系，更有利于及時掌握網(wǎng)絡(luò)空間安全態(tài)勢的發(fā)展趨勢，在動態(tài)中形成監(jiān)測、預(yù)警、溯源取證等安全防御能力。網(wǎng)絡(luò)空間測繪從根本上是服務(wù)于網(wǎng)絡(luò)空間安全的，網(wǎng)絡(luò)空間測繪技術(shù)也是在網(wǎng)絡(luò)安全事件的對抗中不斷發(fā)展的。近年來，網(wǎng)絡(luò)空間測繪領(lǐng)域提出并不斷推廣“動態(tài)測繪”思想，目標(biāo)在于充分發(fā)揮網(wǎng)絡(luò)測繪平臺的網(wǎng)絡(luò)資產(chǎn)測繪數(shù)據(jù)能力，在實(shí)戰(zhàn)對抗中不斷豐富攻擊者和攻擊行為的測繪指紋特征，進(jìn)一步形成對網(wǎng)絡(luò)安全事件的監(jiān)測預(yù)警能力，提升網(wǎng)絡(luò)安全前置防御能力。

 

（原載于《保密科學(xué)技術(shù)》雜志2021年3月刊）