江西测绘
    主页 > 综合新闻 >

基于测绘技术的网络资产安全管理研究

【摘? ?要】 本文通过实际案例阐述了基于测绘技术的网络资产管理在网络安全中的重要作用,重点分析了基于测绘技术的网络资产管理系统在网络安全监测预警方面的核心能力,并提出基于测绘技术的融合网络资产管理系统与流量监测技术、云防御技术、蜜罐主动诱捕技术等于一体的网络资产安全管理体系。

【关键词】 网络资产探测 资产指纹识别 MeowBot攻击

1 引言

当前,大数据、云计算、物联网、人工智能、区块链等新技术不断显现,人类社会加速进入数字经济时代。在网络中运行的数据成为全球科技和产业竞争的重要制高点,其重要性堪比石油资源。数据资源及其物理载体是网络资产管理的主要对象,网络资产管理的安全性直接决定了数据资源的安全性,所以网络资产管理中的安全问题举足轻重。网络空间资产测绘数据中的网络资产情报为构建网络资产安全管理提供了丰富的大数据资源和基础能力,包括通过网络资产测绘发现攻击者资产,为网络攻击行为的安全防御前置提供重要的技术基础;通过网络资产测绘实时监测网络攻击事件的全过程,对网络攻击行为进行有效的预警和处置等。

2 网络资产测绘发现攻击者资产

从攻击者视角看,网络攻击一般是从攻击对象的资产情报收集开始的。社会组织机构通过互联网向社会开放各种服务,这些服务同时也暴露了组织机构的网络资产,给攻击者提供了重要的资产情报。这些情报大致分为以下4个方面:一是资产暴露信息,包括IP信息、域名信息、服务信息、人员身份信息等;二是资产指纹信息,包括服务信息指纹、设备指纹、应用系统指纹等;三是资产漏洞信息,包括操作系统漏洞、Web服务漏洞、数据库漏洞、应用程序漏洞等;四是资产失陷信息,包括资产被入侵的相关信息,如篡改、暗链、挂马等。

上述信息主要通过全球网络空间搜索引擎进行收集。一般来说,攻击者一方面需要根据其掌握的攻击技术特征对网络空间的相关资产进行搜索,而后确定攻击目标和制定攻击路线并发起攻击,重要目标的网络资产情报是攻击者最为关注的信息;另一方面,攻击者也要利用一些网络基础设施包括攻击工具、钓鱼网站、C2服务器等实施攻击。针对攻击者的攻击方法和特性,可以利用网络资产测绘技术分析攻击者的网络资产测绘特征,并通过网络空间测绘引擎发现攻击者的网络资产,为网络安全防御前置和预警提供重要的技术支撑。

以下简单介绍海莲花APT组织钓鱼网站的测绘特征:

(1)通过攻击样本提取海莲花APT组织钓鱼网站,如、等;

(2)对比分析网站测绘特征;

(3)分析钓鱼网站的测绘特征并根据以上测绘数据可以组合为如下测绘特征:

(4)利用网络资产测绘搜索引擎搜索发现新的钓鱼网站,如表1所示。

这些新发现的钓鱼网站域名和IP等资产特征,可以进一步应用到网络流量监测和云防御平台进行安全监测和预警,还可以用于对攻击者的溯源取证。当前,APT攻击已经成为了网络安全的主要威胁来源,利用网络空间测绘技术捕捉其网络资产特征进行安全监测和预警,将成为反APT攻击的重要技术手段。

3 网络资产管理监测预警网络攻击行为

从防御者视角看,网络资产既是网络安全保护的主要目标,也是与网络攻击者进行防御角力的主战场。为适应网络安全发展要求,基于测绘技术的网络资产管理应具备以下主要技术能力:一是网络资产探测。网络资产具有较强的技术性,手工统计难以适应。利用网络资产主动探测技术可以持续不间断地对所属网络资产进行扫描,建立动态资产清单。二是资产指纹识别。利用探测数据对所属资产的操作系统、设备类型、端口/服务、应用组件等进行识别,掌握网络资产的技术属性,支持与漏洞信息关联定位,对可疑的网络安全威胁资产进行监测和预警。三是资产归属标注。对所属网络资产与组织架构内人员和责任人进行绑定,支持网络资产的行为规律分析,监测发现异常网络行为。四是资产漏洞检测。利用公开的漏洞信息库,对所属资产的漏洞进行探测扫描。特别是要具备1Day漏洞验证扫描能力,快速实现漏洞资产定位并进行响应和安全处置。

2020年4月,MeowBot攻击利用ElasticSearch及MongoDB等数据库的未授权访问漏洞实施攻击,网络测绘引擎通过资产探测实现了对该攻击的全过程跟踪与监测。