基于測繪技術的網絡資產安全管理研究

【摘   要】 本文通過實際案例闡述了基于測繪技術的網絡資產管理在網絡安全中的重要作用，重點分析了基于測繪技術的網絡資產管理系統(tǒng)在網絡安全監(jiān)測預警方面的核心能力，并提出基于測繪技術的融合網絡資產管理系統(tǒng)與流量監(jiān)測技術、云防御技術、蜜罐主動誘捕技術等于一體的網絡資產安全管理體系。

【關鍵詞】 網絡資產探測 資產指紋識別 MeowBot攻擊

1 引言

當前，大數(shù)據(jù)、云計算、物聯(lián)網、人工智能、區(qū)塊鏈等新技術不斷顯現(xiàn)，人類社會加速進入數(shù)字經濟時代。在網絡中運行的數(shù)據(jù)成為全球科技和產業(yè)競爭的重要制高點，其重要性堪比石油資源。數(shù)據(jù)資源及其物理載體是網絡資產管理的主要對象，網絡資產管理的安全性直接決定了數(shù)據(jù)資源的安全性，所以網絡資產管理中的安全問題舉足輕重。網絡空間資產測繪數(shù)據(jù)中的網絡資產情報為構建網絡資產安全管理提供了豐富的大數(shù)據(jù)資源和基礎能力，包括通過網絡資產測繪發(fā)現(xiàn)攻擊者資產，為網絡攻擊行為的安全防御前置提供重要的技術基礎；通過網絡資產測繪實時監(jiān)測網絡攻擊事件的全過程，對網絡攻擊行為進行有效的預警和處置等。

2 網絡資產測繪發(fā)現(xiàn)攻擊者資產

從攻擊者視角看，網絡攻擊一般是從攻擊對象的資產情報收集開始的。社會組織機構通過互聯(lián)網向社會開放各種服務，這些服務同時也暴露了組織機構的網絡資產，給攻擊者提供了重要的資產情報。這些情報大致分為以下4個方面：一是資產暴露信息，包括IP信息、域名信息、服務信息、人員身份信息等；二是資產指紋信息，包括服務信息指紋、設備指紋、應用系統(tǒng)指紋等；三是資產漏洞信息，包括操作系統(tǒng)漏洞、Web服務漏洞、數(shù)據(jù)庫漏洞、應用程序漏洞等；四是資產失陷信息，包括資產被入侵的相關信息，如篡改、暗鏈、掛馬等。

上述信息主要通過全球網絡空間搜索引擎進行收集。一般來說，攻擊者一方面需要根據(jù)其掌握的攻擊技術特征對網絡空間的相關資產進行搜索，而后確定攻擊目標和制定攻擊路線并發(fā)起攻擊，重要目標的網絡資產情報是攻擊者最為關注的信息；另一方面，攻擊者也要利用一些網絡基礎設施包括攻擊工具、釣魚網站、C2服務器等實施攻擊。針對攻擊者的攻擊方法和特性，可以利用網絡資產測繪技術分析攻擊者的網絡資產測繪特征，并通過網絡空間測繪引擎發(fā)現(xiàn)攻擊者的網絡資產，為網絡安全防御前置和預警提供重要的技術支撐。

以下簡單介紹海蓮花APT組織釣魚網站的測繪特征：

（1）通過攻擊樣本提取海蓮花APT組織釣魚網站，如thamcungbisu.org、baodachieu.com等；

（2）對比分析網站測繪特征；

（3）分析釣魚網站的測繪特征并根據(jù)以上測繪數(shù)據(jù)可以組合為如下測繪特征：

（4）利用網絡資產測繪搜索引擎搜索發(fā)現(xiàn)新的釣魚網站，如表1所示。

這些新發(fā)現(xiàn)的釣魚網站域名和IP等資產特征，可以進一步應用到網絡流量監(jiān)測和云防御平臺進行安全監(jiān)測和預警，還可以用于對攻擊者的溯源取證。當前，APT攻擊已經成為了網絡安全的主要威脅來源，利用網絡空間測繪技術捕捉其網絡資產特征進行安全監(jiān)測和預警，將成為反APT攻擊的重要技術手段。

3 網絡資產管理監(jiān)測預警網絡攻擊行為

從防御者視角看，網絡資產既是網絡安全保護的主要目標，也是與網絡攻擊者進行防御角力的主戰(zhàn)場。為適應網絡安全發(fā)展要求，基于測繪技術的網絡資產管理應具備以下主要技術能力：一是網絡資產探測。網絡資產具有較強的技術性，手工統(tǒng)計難以適應。利用網絡資產主動探測技術可以持續(xù)不間斷地對所屬網絡資產進行掃描，建立動態(tài)資產清單。二是資產指紋識別。利用探測數(shù)據(jù)對所屬資產的操作系統(tǒng)、設備類型、端口/服務、應用組件等進行識別，掌握網絡資產的技術屬性，支持與漏洞信息關聯(lián)定位，對可疑的網絡安全威脅資產進行監(jiān)測和預警。三是資產歸屬標注。對所屬網絡資產與組織架構內人員和責任人進行綁定，支持網絡資產的行為規(guī)律分析，監(jiān)測發(fā)現(xiàn)異常網絡行為。四是資產漏洞檢測。利用公開的漏洞信息庫，對所屬資產的漏洞進行探測掃描。特別是要具備1Day漏洞驗證掃描能力，快速實現(xiàn)漏洞資產定位并進行響應和安全處置。

2020年4月，MeowBot攻擊利用ElasticSearch及MongoDB等數(shù)據(jù)庫的未授權訪問漏洞實施攻擊，網絡測繪引擎通過資產探測實現(xiàn)了對該攻擊的全過程跟蹤與監(jiān)測。

（1）探測發(fā)現(xiàn)全球被攻擊網絡資產。探測發(fā)現(xiàn)全球存在超62000個Elasticsearch服務器可被未授權訪問，其中被植入“nightlionsecurity.com”空索引15335個。

（2）發(fā)現(xiàn)新的攻擊“追隨者”。利用測繪引擎探測發(fā)現(xiàn)，部分被攻擊主機除了被植入“nightlionsecurity.com”空索引以外，還出現(xiàn)了被植入“i_want_2_die”或者“sm1l3y_gang”等空索引的現(xiàn)象。該攻擊出現(xiàn)了新的追隨者。其中“i_want_2_die”空索引173個，“sm1l3y_gang”空索引91個。

（3）揭示攻擊者銷毀ES原有數(shù)據(jù)的破壞行為特征。測繪引擎探測發(fā)現(xiàn)，攻擊者銷毀破壞ES原有數(shù)據(jù)后，會添加隨機字符加后綴為“-meow”的索引。

（4）發(fā)現(xiàn)MongoDB數(shù)據(jù)庫被MeowBot攻擊。2020年7月探測發(fā)現(xiàn)全球2317個MongoDB服務被meowbot攻擊。

（5）揭露攻擊意圖，1500個目標被勒索。2020年7月，探測發(fā)現(xiàn)攻擊者宣稱被攻擊方必須在7天內與其取得聯(lián)系，否則直接公開已經被下載的相關敏感數(shù)據(jù)。

利用網絡空間測繪主動探測技術可以實現(xiàn)對網絡資產相關安全事件的全過程跟蹤和監(jiān)測，并發(fā)現(xiàn)安全事件不同發(fā)展階段的重要特征，從而揭示其攻擊目標、技術手段、行為特征和意圖等。網絡攻防是一個動態(tài)過程，對網絡資產進行動態(tài)管理是監(jiān)測和預防網絡安全威脅的基礎。

4 構建多位一體的網絡資產安全管理體系

僅僅依靠網絡資產管理不可能解決所有網絡安全問題，但立足于測繪技術的網絡資產管理可以構建更為開放、主動和動態(tài)的多位一體網絡資產安全管理系統(tǒng)，可以與其他安全技術包括網絡流量監(jiān)測技術、云防御技術和蜜罐主動誘捕技術等進行有機融合，構建更有效的網絡安全防御機制。

4.1 資產信息是威脅情報的重要組成部分

威脅情報離不開資產信息。一是安全防護和安全威脅的目標都是網絡資產。網絡安全漏洞總是與一定的網絡資產相關聯(lián)，利用漏洞掃描工具和測繪技術可以實現(xiàn)漏洞資產的快速定位，提供精準的安全威脅情況。二是安全攻擊技術同樣離不開網絡資產，這類資產常稱為惡意資產，如APT的釣魚網站、C2服務器、DDoS攻擊的源IP等。通過流量分析檢測識別這些惡意資產仍是目前安全防御的重要手段。三是攻擊受害者同樣也表現(xiàn)為網絡資產的某種改變，如上述案例MeowBot攻擊中數(shù)據(jù)庫資產被篡改。識別受害資產特征也是監(jiān)測網絡攻擊行為的重要技術方法。沒有資產信息的威脅情報是不準確的，安全威脅的資產信息越精確，威脅情報的針對性和有效性也越強。現(xiàn)代網絡空間測繪技術可以實現(xiàn)對網絡資產信息的主動探測和精確識別能力，包括IP和域名信息、設備類型和廠商、軟件及版本、端口和服務組件、證書和用戶等信息。這些資產信息在網絡攻防實戰(zhàn)中占據(jù)十分重要的地位，利用測繪技術對這些資產信息進行有效的安全管理，是掌握網絡安全主動權的重要環(huán)節(jié)。

4.2 利用資產信息實現(xiàn)多種防御技術的統(tǒng)一和協(xié)同

目前，安全防御技術種類繁多。目前多采用網絡流量分析檢測技術，主要利用流量旁路設備，對網絡流量進行分析，對已知威脅和網絡異常行為構建模型進行檢測和快速鑒別，包括C&C通信、DDoS 攻擊、SSH/FTP暴力破解、SQL注入、DNS/ARP污染、漏洞掃描和漏洞攻擊、內網平移、惡意軟件升級、隱蔽信道等網絡惡意行為；對各類網站、Web Mail、OA系統(tǒng)、CRM系統(tǒng)等進行流量過濾，實現(xiàn)防DDoS攻擊、防黑客CC攻擊、防后門、防數(shù)據(jù)竊取等安全防御技術；基于流量交互實現(xiàn)蜜罐等主動誘捕技術等。這些技術各有所長但都具有一定的局限性。要實現(xiàn)不同技術的威脅情報信息的快速共享，形成協(xié)同防御能力還是一大難題。

資產信息恰恰具有聯(lián)結各種防御技術的核心技術屬性。利用測繪技術可以對各類資產進行精確的識別和標注。對內可以盤點所屬資產，監(jiān)測其動態(tài)變化；對外可以主動識別和監(jiān)測惡意資產的動態(tài)，發(fā)現(xiàn)已經受害資產的特征，進行預警。通過資產信息可以實現(xiàn)多種防御技術的協(xié)同。例如，對于新發(fā)現(xiàn)的APT釣魚網站信息，可以與流量分析安全技術結合，形成有效的檢測和防御技術。目前云技術的應用和發(fā)展，還可以構建聚合漏洞指紋庫、網絡空間測繪信息、全球網絡攻擊追蹤、業(yè)務系統(tǒng)安全輿情監(jiān)測等多維度動態(tài)防御矩陣，實現(xiàn)“一網攻擊、全網防護”的云協(xié)同防御能力。

4.3 測繪技術助力前置防御能力

以上所述的網絡安全防御技術主要基于流量分析。流量數(shù)據(jù)在獲取能力上來說是被動的，在時間和空間上都具有較大局限性。時間上表現(xiàn)為只能在攻擊行為進行時才可能分析發(fā)現(xiàn)，事前和事后均難以奏效；在空間上，無法感知受控流量之外的安全威脅，對這些威脅的監(jiān)測預警能力相對薄弱。利用主動探測測繪技術可以較好地彌補流量分析這方面的不足。在全球范圍內，對攻擊者的攻擊行動進行全過程的跟蹤和監(jiān)測，及時掌握攻擊行為的變化過程，進而提供預警和防御技術路線。網絡空間測繪技術具有主動性，可以根據(jù)需要對網絡空間主要網絡目標進行探測識別；同時具有實時性，通過周期性的持續(xù)探測可以實現(xiàn)對重點目標和事件的有效監(jiān)測；還具有全球性，對等于網絡攻擊的無國界特征，測繪技術同樣可以覆蓋全球。這些優(yōu)勢可以彌補基于流量分析安全技術的局限性，真正實現(xiàn)具備敵動我動、敵未動我先動的前置防御能力。

5 結語

主動探測技術是網絡空間測繪的核心技術。綜合利用包括主動探測在內的資產測繪技術和數(shù)據(jù)資源構建多位一體的網絡資產管理體系，更有利于及時掌握網絡空間安全態(tài)勢的發(fā)展趨勢，在動態(tài)中形成監(jiān)測、預警、溯源取證等安全防御能力。網絡空間測繪從根本上是服務于網絡空間安全的，網絡空間測繪技術也是在網絡安全事件的對抗中不斷發(fā)展的。近年來，網絡空間測繪領域提出并不斷推廣“動態(tài)測繪”思想，目標在于充分發(fā)揮網絡測繪平臺的網絡資產測繪數(shù)據(jù)能力，在實戰(zhàn)對抗中不斷豐富攻擊者和攻擊行為的測繪指紋特征，進一步形成對網絡安全事件的監(jiān)測預警能力，提升網絡安全前置防御能力。

 

（原載于《保密科學技術》雜志2021年3月刊）