方案背景
网络资产的范畴很广,从门户网站、信息系统到中间件、操作系统,再到各种网络设备、安全设备和IoT设备等等,凡是网络当中活动的或者可以被访问到的目标,都可以归类为网络资产,而资产安全也成为决定整个网络安全建设是否达标的关键因素。近年来,随着网络空间对抗强度的增加、网络攻防演练的常态化开展,由于资产底数不清、遗留安全风险、漏洞修复不及时等各种问题导致的失陷事件也越发引起大家的重视。由于网络资产安全性不足而带来的隐患有很多,一方面,网络当中接入资产的类型和数量在不断增加,虚拟化和私有云等建设形式也在不断运用,网络边界逐渐模糊,传统的安全建设思路面临巨大挑战,容易遗漏未知资产,产生安全死角;另一方面,从攻击者的视角而言,通过入侵VPN、域控、统一管理平台等集权系统所带来的收益要远高于直接攻击目标主机,而这类系统通常不在传统的资产保护区域内,容易被绕过后轻易进入内网;最后,业务快速迭代的需求和安全稳定的要求容易产生矛盾,在实际的安全建设当中必须要找到二者之间的平衡点,才能将资产的安全和管理有效结合起来。接下来我们就从问题和政策两个角度来进行详细分析。
问题背景
安全往往要靠问题来驱动,从攻击者的视角而言,网络资产面临的主要安全问题可以概括为暴露面风险、供应链风险和管理风险几个维度。
◆ 暴露面风险
攻击者在针对特定系统进行攻击之前,往往会对目标进行深入研究,重点找到安全漏洞、弱口令账号等暴露在外的安全风险,随后再制定针对性的攻击策略来精确定位那些被忽视的暴露面风险,从而完成对企业目标业务系统的攻击。此类暴露在攻击者视线范围内,可以被入侵利用的系统、设备、信息等,都属于暴露面,以往的暴露面主要是对外发布的网站或其他信息系统等Web资产,随着越来越多的设备开放ssh、web、telnet等多种管理服务,网络设备、安全设备甚至一些智能终端的管理端口开始大量暴露在网络当中,2020年初,黑客在一个流行的黑客论坛上发布了一份涵盖515, 000 多台服务器、家庭路由器和物联网智能设备的远程登录的Telnet凭据列表,一度引起大家恐慌。虽然大多数用户都会认识到暴露面的风险所在,并想方设法来减少暴露面,但并非所有暴露面都是显而易见的,并且很可能因为人员操作失误或配置松散等问题造成潜在的风险。常见的问题一般有如下几种:
(1)防火墙安全策略过于宽泛,内部生产系统被违规映射在外网;
(2)对外发布网站的安全检查不及时、不彻底,导致资产遗留安全漏洞,带病运行;
(3)安全管理要求过于松散,在线系统用户使用弱口令或重复口令进行登录,同时系统缺少多因子认证等安全机制;
(4)内网系统端口管控不严格,开放大量非必要的高风险端口,如文件共享端口、远程控制端口等;
(5)内网安全域间隔离不彻底,内网区域甚至生产网区域资产可以被内部其他区域用户任意访问。
◆ 供应链风险
供应链攻击是近年来提到较多的攻击形式之一,攻击者通过攻陷一套通用软件或网络设备的方式来达到对其使用者进行大范围攻击的目的。在安全保障当中,需要关注的保护资产除了各类在运的信息系统之外,容易被忽略的往往还有较为流行的开发框架、外包服务商负责的测试系统,甚至是安全厂商供应的设备类产品,这类资产通常不会放在DMZ等区域,因此也会缺乏防火墙、入侵防御或者WAF等专用产品的防护。攻击者通过发掘供应链资产的缺陷,利用流行框架或安全产品自身的漏洞来发起攻击,则可以轻易绕过边界防护,直接攻陷目标系统。常见的供应链风险有如下几种:
(1)针对Struts2、Shiro、WebLogic等框架和中间件的攻击;
(2)针对VPN、防火墙等安全网关类设备的攻击;
(3)针对域控、堡垒机、虚拟化管理平台等集权系统的攻击。
◆ 管理风险
很多安全问题本质上都是管理的缺陷,业务部门与管理部门的脱节、管理制度与控制手段的缺失,都容易造成网络资产的安全风险,常见的管理风险有如下几种:
(1)业务部门私自搭建服务网站,违规发布在互联网当中;
(2)研发部门为了方便调试等操作,违规将测试系统对外发布;
(3)活动期间临时上线的系统,在结束后未及时退运并且无人看管;
(4)对热点安全事件跟踪不及时,漏洞未及时修补,导致资产带病运行。
政策背景
随着网络资产安全问题不断爆发,国家监管部门高度重视,近年来也相继在各项法规政策中做了相关的指导和要求。
◆ 网络安全法相关要求
第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
第二十五条
网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
第三十一条
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
◆ 等保2.0基本要求
资产管理
√ 应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;
√ 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;
√ 应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
漏洞和风险管理
√ 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补;
√ 应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。
安全事件处置
√ 应及时向安全管理部门报告所发现的安全弱点和可疑事件;
√ 应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等;
√ 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训;
√ 对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。
需求痛点
随着网络规模的不断扩大,各行业客户普遍都存在资产不清、责权不清、风险不明、管理不明等问题,而从网络资产运营者的角度而言,资产安全管理主要面临如下痛点需求:
◆ 网络资产发现能力不足
传统的资产发现能力多采用人工整理或网管软件等方式,一方面依赖专用协议或Agent等方式,需要系统、设备等目标资产兼容,并且可发现资产类型受限,数量较少;另一方面依靠人工梳理的方式偏向于设备或系统台账的梳理,资产记录的粒度较粗并且容易造成信息缺失。因此,需要有一种方式可以直接从网络当中自动学习和梳理资产,以满足全面准确和及时有效发现资产的需求。
◆ 资产安全管理能力不足
资产安全的主要问题之一就是管理与安全的脱节,业务部门对系统资产的快速迭代生产需求和安全部门对资产稳定安全运行的要求存在天然的冲突点,而当前的管理制度主要靠用户的主动性和人工的跟踪方式,容易造成信息缺失和疏忽,安全监测和扫描的结果又需要反复核对和比对才能进行合理整改。因此,需要一种平台化的统一管理方式,能够自动化的将信息关联起来,提高准确性和处理效率。
◆ 资产风险研判能力不足
随着用户对信息安全重视度的提高,网络当中具备的安全能力种类也在增多,通常有漏洞扫描、流量分析和威胁监测等能力,但在实际的问题分析当中,往往面临海量的事件日志,其中存在大量的噪音数据需要甄别过滤,分析效率较低;另外,传统安全事件与资产自身属性的关联信息较少,例如单纯的漏洞信息或攻击日志只记录了相关的IP信息,缺少影响资产的属性和用途等信息,在进行风险研判时缺少支撑,难以做出准确判断,仍然需要人工核对,影响处置效率。因此,需要一种基于资产的风险研判方式,可以快速甄别真实风险,做出准确的处置判断。
◆ 事件应急处置能力不足
资产安全的另一个决定性因素是事件处置是否能够闭环,通常的安全能力都是独立部署,按照不同的安全需求和政策要求进行合规建设,然后再靠人工维护来建立关联能力并形成闭环,更多的场景下做的是事前预防和事后补救恢复的动作,在紧急事件发生时缺少敏捷的响应手段,应急处置能力不足。因此,需要一种闭环的关联策略,能够根据预先设定要的应急预案,自动化执行对应的动作或联动相应的能力,从而真正做到协同联动,实现主动响应。
◆ 问题溯源取证能力不足
安全问题永远不能完全避免,所以问题发生后的溯源和分析取证就显得尤为重要。在实际的事件场景当中,全面的攻击路径分析和可靠的风险行为画像可以有助于用户准确甄别真正的风险点,做出可靠的修复方案以应对后续的安全威胁。因此通过大数据分析的方式保留足够原始信息,并且适当的运用事件追溯和安全情报的能力,扩展本地事件分析时的可参考依据,进而强化问题溯源取证的能力。
详细方案
针对常见的资产安全问题,盛邦安全制定了“五步法”网络资产安全治理解决方案(以下简称“五步法解决方案”),从摸清家底出发,通过资产学习、备案管理、立体防护、自动化运营和应急响应五个关键步骤,覆盖网络资产上线安全检查、本地备案管控、运行安全监控、合规建设和协同应急处置等全生命周期,可以有效识别未知资产风险,全面监控在运资产,及时进行问题资产下线处置等,满足网络资产运行过程各个环节的针对性安全需求。
五步法解决方案以网络资产安全治理平台为核心,结合漏扫、防火墙、入侵防御系统和Web应用防护系统等产品构成整体方案,利用资产治理能力将综合监控能力和纵深防御能力有机结合,实现常态化的合规安全建设和实战化的应急响应处置,为用户提供持续性的安全能力。方案整体部署示意图如下所示:
根据不同的网络结构和流量规模,网络资产安全治理平台可以采用分布式模式进行部署,对不同安全域的资产分别进行梳理并由主控平台进行统一备案与管理;平台自身可提供综合性的可用性、安全性和合规性监控能力,可以同漏洞扫描设备形成补充,一方面提供自动化的安全运营能力,另一方面可以对全网各层边界的防火墙、入侵防御和Web应用防护等纵深能力进行持续监督,形成立体化的防护体系。最后,通过平台自身的旁路阻断能力配合与防火墙、WAF等设备联动形成的探针阻断能力,可以对所监控的安全事件进行对应颗粒度的应急处置,并可以选择根据策略自动执行相应动作,实现安全闭环。具体的安全能力如下所述。
◆ 摸清家底
在攻防当中,知己知彼才是决胜之道,如果对自身防护范围、资产暴露面梳理不清,那么任何监控和防护手段都难以消除死角,达不到真正效果,因此摸清家底、底数自清是整个资产治理体系的第一步,同时也是关键一步。在五步法解决方案中,网络资产安全治理平台可以采用主被动结合的方式来进行网络资产的摸底与梳理,利用网络自身的特性,一方面通过对过往业务流量进行监听分析,梳理活动中的网络资产并记录详细信息;另一方面通过主动探测的方式对网络可达范围内存活的目标进行侦测识别,并结合海量的指纹信息对资产进行精准画像;最后通过开放的数据入口进行手动录入或模板导入,进一步进行对照补充,形成全面准确的资产信息库。
通过对资产进行摸底梳理,既可以对网络中运行资产形成一个清晰的台账列表,方便后续的持续跟踪与管理;也可以在梳理过程中及时发现网络当中隐藏的未知资产、违规资产和“带病”资产等安全隐患,提前进行问题修复或关停下线等整改处置,确保不留安全死角。
◆ 备案审核
很多安全事件的产生都是由于系统私搭乱建、业务违规上线、过期未及时退运,或者开发人员为方便调试私自将测试系统发布所导致。对于这类问题资产,一方面需要拥有技术手段能够及时发现,准确处理;另一方面也需要部门之间紧密配合,保持信息通畅、流程完整。
为了解决业务部门和安全部门在资产管理当中的脱节问题,方案引入本地备案体系来进行解决。通过网络资产安全治理平台内置的备案管理模块,安全部门可以对自学习过程中发现的未知资产发布认领通知,对无人确认的资产进行关停处置;另外,业务部门也可以对待上线的系统发布申请流程,由安全部门确认填报信息和资产安全状态后进行审批上线。通过本地的备案审核管控,既可以确保资产归属信息完整,责任责权到人,实现安全闭环;又可以提供可靠的管控流程,保证资产上线、整改、变更和退运都有平台支撑,方便跟踪管理。
◆ 立体防护
对于运行中的网络资产,防护的有效性是安全的决定性因素。具体的安全建设可以参考等级保护等基本要求来进行,按照纵深防护的原则在互联网接入边界部署防火墙、接入区域部署抗DDoS系统、入侵防御系统等安全网关,在服务器区域边界部署Web应用防护系统(即WAF),在服务器终端部署网页防篡改及其他终端防护类产品。在实际当中,尽管有面向各种场景的防护产品,但由于运维交接、配置变更等原因,经常会面临安全策略的失效问题,例如策略防护粒度太粗,效果太宽泛,造成攻击漏防;或者策略覆盖面不全,部分系统资产未在防护范围内。单纯依靠防护产品的堆砌和策略的叠加很容易造成问题隐患的累积,导致防护失效。
五步法资产治理解决方案提供的立体化防护思路,除了强调防护产品的合理分配部署之外,还提供了综合性的安全监测能力作为补充,通过持续性的安全自查可以有效的对防护有效性进行监督,让静态的安全建设具备了动态的评价指标,从而及时发现新的配置漏洞和缺项,合理调整防护策略,实现精确防御和精准防护的能力要求。
◆ 自动运营
在网络资产正常运行期间,除了有效的防护之外,还需要建立持续性的安全运营能力。五步法资产治理解决方案提供了主被动协同的自动化运营能力,一方面通过主动的安全监控能力,对系统、Web、数据库等漏洞风险,敏感词、恶意链接等内容风险,以及资产存活状态、端口开放状态等属性进行周期性的检测与监控;另一方面通过被动的风险分析能力,对入侵威胁、Webshell利用等恶意行为进行实时监测,并结合安全情报分析进一步对风险来源进行识别捕获,同时利用对资产访问态势的监控做到对僵尸网站等违规资产的监控预警。
此外,通过网络资产安全治理平台的协同能力,可以对资产对象进行7*24小时的健康巡检,针对监测到的安全风险自动化执行通报预警,并按需形成资产视角、风险视角和管理视角等不同维度的数据报表,方便用户进行集中审计与综合研判。同时,针对资产漏洞风险的管理,治理平台还提供了专用的整改流程,从而将资产的漏洞检查、在线验证、修复跟踪和对比统计形成统一化管理。
◆ 应急响应
网络资产安全治理的最后一步是闭环,五步法资产治理解决方案提供了常态化和实战化场景下的应急响应能力,可以对问题资产进行快速的封禁处置,避免问题影响扩散。根据不同的资产属性,结合战时和日常保障的不同强度需求来执行对应粒度的处置动作,从响应方式出发可以概括为如下典型场景。
精细化协同处置
在日常安全保障当中,为了实现精准防护的需求,方案可以通过网络资产安全治理平台与Web应用防护系统的协同联动来实现细粒度的处置动作,例如针对同一IP地址下的不同Web资产,可以区分问题资产与正常资产,仅对问题Web资产进行访问控制而不影响整个IP资产运行。
在响应流程当中,用户可以直接选择自动执行响应,也可以根据实际需要先进行人工研判的策略,通过加入对问题判断验证的环节,在保证高效应急的同时进一步提升处置的准确性。
敏捷型旁路阻断
对于安全性要求较为严格的用户场景,方案可以通过网络资产安全治理平台自身发送阻断包的方式来实现敏捷的IP级应急响应。在监测到问题资产时,平台可以按照预定的策略主动构造阻断数据包,并从旁路向访问侧和资产侧同时发送,直接阻断后续的交互动作,达到实时封堵漏洞利用行为和保护问题资产的目的。
在旁路阻断的过程中,可以对范围进行设定,选择封堵全网对问题资产的访问或者仅屏蔽外网访问,从而实现对不同风险等级下问题的区分处理,即选择对外网入侵的封堵或对内网横向扩散攻击的封堵效果。
一键式下线封禁
在重保等战时场景下,方案可以提供直接的问题资产处置方式,通过移动终端等设备,用户可以直接访问治理平台提供的资产列表,通过选择“下线”或“上线”按钮手动执行对问题资产的下线或恢复动作,一键下线的方式可以充分利用方案提供的研判依据和用户自身的判断数据,实现直接的应急响应。
方案特点
◆ 强大的资产识别能力
方案提供了深度的流量分析能力和海量的资产指纹库,可以对Web资产、操作系统、中间件、网络设备、安全设备和物联网设备等各类软硬件网络资产进行多维度的精准画像,建立全面的资产信息库。
目前,资产指纹的规模已超过28个大类,包含12万以上具体指纹信息,其中包括了Web应用、中间件、操作系统、应用服务、网络设备、安全设备、计算机终端、服务器设备、工业控制设备、操作系统、数据库、打印机、摄像头和云服务资源等各种类型,指纹深度可以到具体的版本号和子版本号。
针对关注度较高的Web资产,方案可以梳理其地址属性、运营时间、运行方式、服务类型、地理位置、中间件、操作系统、开发架构、开发语言、编码方式和防护状态等多维度的信息,为日常的研判分析提供详细数据。
◆ 可靠的资产管理能力
方案通过本地化的备案管控手段,有效结合了资产的管理和安全责权,将线下的安全审核和归属记录提升为线上平台化的基线要求和管控处置能力,可以在资产自学习的基础上进一步补全责权信息,包括实际用途、负责人信息、安全联系人信息、应急联系方式等,能够帮助安全部门有效的对业务资产进行管理,实现可靠的资产审核与管理能力。除预置的备案模板之外,用户还可以根据自身需求设定个性化的填报模板,进一步整合碎片信息,全面的提升管理灵活性。
同时,通过进行资产备案和认领,可以快速识别未知资产,包括临时系统、私搭乱建站点和测试系统等。及时进行下线处置,厘清风险边界。
◆ 丰富的安全监测能力
方案提供了主动扫描和被动分析两大维度的安全监测能力,一方面对敏感端口、高风险服务、漏洞风险、弱口令、敏感词、恶意链接等安全风险进行检测分析;另一方面对入侵威胁、后门试探、违规外联等风险行为进行监测预警。通过丰富的安全监测能力,为资产稳定运行提供持续的护航能力。
◆ 高效的应急响应能力
方案通过系统间的协同联动和策略编排能力,为用户提供了高效的应急响应能力。既可以利用旁路阻断的技术实现敏捷处置,在避免单点故障风险的前提下提供主动保护的能力;又可以通过协同联动实现精细化的问题资产处置,在高效响应的基础上进一步达到精准防护的效果。
◆ 闭环的资产治理能力
方案覆盖了网络资产梳理、管控、监控、防护和处置的全部流程,实现了风险闭环,同时针对新增资产上线、问题资产下线、漏洞风险整改等场景设定了相应的处置流程,进一步实现了安全到管理的闭环。
方案价值
◆ 及时发现未知资产,做到防微杜渐
方案可以有效弥补用户传统资产管理方式的不足,帮助用户打通信息化管理的流程,提升安全运维的工作效率,进而准确发现未知资产并及时处置,做到及时的风险清零。
◆ 建立统一资产看板,助力分析研判
方案通过全面的资产学习和梳理,可以帮助用户建立完整的资产看板,并且将线下的碎片化资产信息转变为线上的直观资产视图,基于可视化的操作窗口对资产进行直观的运行态势监控与安全状态分析,帮助安全管理员准确做出研判分析。
◆ 建立资产管控流程,确保责权分明
方案利用丰富的资产管控流程,可以帮助用户将业务部门、开发部门、运维部门和安全部门的工作合理衔接起来,利用平台化的管理方式来落地具体的安全制度,确保资产从申请、审核、上线到变更或退运的各个环节能够做到归属明确、责权清晰,使得资产安全事件有据可查、处置合理。
关键词:网络空间地图、网络资产测绘、网络空间资产探测