古有智者云：“萬物莫不相對(duì)，萬物莫不相異”，同與異其實(shí)是對(duì)立面的統(tǒng)一，凡事并沒有絕對(duì)的標(biāo)準(zhǔn)，一切的是非對(duì)錯(cuò)皆是相對(duì)而言，所謂盛極而衰、否極泰來。有時(shí)事件的邏輯看似走向單一，實(shí)則會(huì)在多個(gè)維度殊途同歸?；ヂ?lián)網(wǎng)暴露面上的日常攻防，也正是如此。身處其中之人，才可窺見妙門。

[[320782]]

樹大招風(fēng)

隨著中國經(jīng)濟(jì)的崛起，中國互聯(lián)網(wǎng)行業(yè)迎來了最好的機(jī)遇，經(jīng)過二十年的高速發(fā)展已經(jīng)深入并改變社會(huì)生活的各個(gè)方面，如：網(wǎng)上辦公系統(tǒng)、視頻會(huì)議系統(tǒng)、電話語音系統(tǒng)、互動(dòng)式系統(tǒng)、門戶型系統(tǒng)等極大地提高了企事業(yè)單位的辦公效率。但同時(shí)，不斷加大的信息系統(tǒng)建設(shè)投入使得企業(yè)中的IT資產(chǎn)數(shù)量迅速增加，網(wǎng)絡(luò)規(guī)模爆炸式擴(kuò)張。正所謂樹大招風(fēng)，數(shù)量眾多的IT資產(chǎn)和龐大的網(wǎng)絡(luò)規(guī)模，給企業(yè)資產(chǎn)管理工作帶來了巨大挑戰(zhàn)，也給信息系統(tǒng)安全帶來了嚴(yán)重威脅。

愈演愈烈的網(wǎng)絡(luò)安全威脅已經(jīng)成為國家安全的新挑戰(zhàn)，關(guān)鍵信息基礎(chǔ)設(shè)施可能時(shí)時(shí)刻刻受到來自外界網(wǎng)絡(luò)的各種安全威脅。國家層面，通過制定《中華人民共和國網(wǎng)絡(luò)安全法》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等法律法規(guī)，在法律層面明確了關(guān)鍵基礎(chǔ)設(shè)施信息安全的重要性、緊迫性以及建設(shè)參與單位需要承擔(dān)的重要責(zé)任和法律義務(wù)。而在關(guān)鍵基礎(chǔ)設(shè)施信息安全中，精準(zhǔn)的資產(chǎn)管控是網(wǎng)絡(luò)安全精細(xì)化管理的基礎(chǔ)，互聯(lián)網(wǎng)暴露面資產(chǎn)的網(wǎng)絡(luò)安全管理又是重中之重。

目前，仍有大量企業(yè)采用人工錄入的方式或者使用半本地化管理系統(tǒng)對(duì)互聯(lián)網(wǎng)暴露面IT資產(chǎn)進(jìn)行管理維護(hù)，缺乏主動(dòng)發(fā)現(xiàn)新接入IT資產(chǎn)的技術(shù)手段，無法通過技術(shù)手段進(jìn)行核查和管理，無法及時(shí)發(fā)現(xiàn)私自變更設(shè)備用途、私自部署軟件、私開公網(wǎng)接口等問題。因此關(guān)鍵基礎(chǔ)設(shè)施責(zé)任相關(guān)企業(yè)只有通過建立有效的資產(chǎn)管控秩序，掌握完整、動(dòng)態(tài)更新的資產(chǎn)檔案信息，才能更有效的開展風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)處置工作。

另一方面，針對(duì)擁有海量互聯(lián)網(wǎng)暴露面IT資產(chǎn)的企業(yè)，開展漏洞風(fēng)險(xiǎn)檢測(cè)工作也是一項(xiàng)巨大挑戰(zhàn)。如何能夠在短時(shí)間內(nèi)對(duì)互聯(lián)網(wǎng)暴露面的IT資產(chǎn)進(jìn)行快速且準(zhǔn)確的漏洞風(fēng)險(xiǎn)排查，最大限度的縮減漏洞風(fēng)險(xiǎn)影響窗口期，也成為了企業(yè)網(wǎng)絡(luò)安全管理人員面臨的一大挑戰(zhàn)課題。因此，互聯(lián)網(wǎng)暴露面資產(chǎn)遠(yuǎn)程檢測(cè)技術(shù)，對(duì)于推進(jìn)通過遠(yuǎn)程掃描技術(shù)對(duì)IT資產(chǎn)進(jìn)行檢測(cè)，建立完整且及時(shí)的企業(yè)互聯(lián)網(wǎng)暴露面IT資產(chǎn)信息庫、風(fēng)險(xiǎn)庫，提升各運(yùn)營商對(duì)在暴露面資產(chǎn)安全風(fēng)險(xiǎn)的掌控力度具有重要價(jià)值。

1. 三大困惑

互聯(lián)網(wǎng)暴露面資產(chǎn)直接面向外部攻擊者的威脅。相對(duì)于企業(yè)內(nèi)部資產(chǎn)，所面臨的安全風(fēng)險(xiǎn)更高。如何快速、準(zhǔn)確的掌握互聯(lián)網(wǎng)資產(chǎn)變化情況，高效的感知資產(chǎn)安全狀態(tài)成為了互聯(lián)網(wǎng)資產(chǎn)安全管理工作的重要工作內(nèi)容。

現(xiàn)階段三大常見困惑：

• 如何準(zhǔn)確的探知暴露面資產(chǎn)上有些什么?
• 如何精準(zhǔn)的識(shí)別暴露面資產(chǎn)特征指紋?
• 如何及時(shí)的檢測(cè)存在漏洞的暴露面資產(chǎn)?

互聯(lián)網(wǎng)暴露面資產(chǎn)存在一定的共性：已接入互聯(lián)網(wǎng)，遵循并實(shí)現(xiàn)了TCP/IP協(xié)議棧。但是不同廠商、不同的平臺(tái)在基于相同標(biāo)準(zhǔn)實(shí)現(xiàn)過程中，存在或多或少的差異。這就為我們進(jìn)行資產(chǎn)類型識(shí)別提供了可能。我們將這些差異，稱為不同廠商、不同平臺(tái)、不同類型、不同版本資產(chǎn)的指紋信息。通過積累指紋信息，逐步形成“指紋庫”，基于這些指紋信息，我們就可以識(shí)別資產(chǎn)的“廠商”、“操作系統(tǒng)”、“操作系統(tǒng)版本”、“資產(chǎn)監(jiān)聽服務(wù)類型及其版本”。

《GBT 20984-2007 信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中，對(duì)于資產(chǎn)的定義為“對(duì)組織有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象”，所以暴露面資產(chǎn)的本質(zhì)是信息和資源，它不僅僅包含作為固定資產(chǎn)的主機(jī)與服務(wù)器，還包括IP資源，以及運(yùn)行于主機(jī)與服務(wù)器上的Web服務(wù)、文件服務(wù)器、OA系統(tǒng)，ERP系統(tǒng)、CRM系統(tǒng)等。

面對(duì)暴露面資產(chǎn)的特殊性，其管理關(guān)注的也不僅僅限于資產(chǎn)的歸屬、運(yùn)行狀況，還包含了暴露面資產(chǎn)安全關(guān)注的風(fēng)險(xiǎn)、資產(chǎn)的變更情況以及資產(chǎn)的運(yùn)行狀況?；谖覀円呀?jīng)獲取到的操作系統(tǒng)信息、服務(wù)及其版本信息、服務(wù)使用框架信息(如：Java、Struts)，通過應(yīng)用軟件產(chǎn)品類型、版本或者OVAL特征適配，我們就可以判斷該資產(chǎn)上是否存在漏洞。

2. 暴露面資產(chǎn)治理思路：對(duì)癥下藥

在新的網(wǎng)絡(luò)安全形勢(shì)下，已有的針對(duì)暴露面資產(chǎn)的安全監(jiān)控及防護(hù)手段，存在著極大的不足和滯后性，缺少高效精準(zhǔn)的技術(shù)手段了解這些系統(tǒng)和設(shè)備開放的組件、服務(wù)和端口情況，以至于在出現(xiàn)嚴(yán)重漏洞時(shí)既不知道是否受影響，也不知道影響范圍程度。

(1) 暴露面資產(chǎn)發(fā)現(xiàn)與識(shí)別方案

通過暴露面資產(chǎn)發(fā)現(xiàn)與識(shí)別，用戶可探測(cè)暴露面資產(chǎn)各操作系統(tǒng)、應(yīng)用服務(wù)、工控設(shè)備、物聯(lián)網(wǎng)設(shè)備以及移動(dòng)設(shè)備等，設(shè)備整體情況盡收眼底。對(duì)于每類、每個(gè)設(shè)備，用戶可從地理位置、網(wǎng)絡(luò)層服務(wù)和應(yīng)用層系統(tǒng)的對(duì)應(yīng)關(guān)系一目了然地掌握設(shè)備的社會(huì)信息和基礎(chǔ)關(guān)聯(lián)信息。

暴露面資產(chǎn)發(fā)現(xiàn)與識(shí)別可以由以下五個(gè)模塊組成：暴露面資產(chǎn)發(fā)現(xiàn)調(diào)度中心、暴露面資產(chǎn)發(fā)現(xiàn)采集中心、暴露面資產(chǎn)發(fā)現(xiàn)分析中心、暴露面資產(chǎn)IP/端口自學(xué)習(xí)、暴露面資產(chǎn)IP指紋爬取引擎。暴露面資產(chǎn)發(fā)現(xiàn)與識(shí)別的業(yè)務(wù)實(shí)現(xiàn)流程如圖1所示：

圖1 暴露面資產(chǎn)發(fā)現(xiàn)與識(shí)別的業(yè)務(wù)流程

暴露面資產(chǎn)掃描技術(shù)特點(diǎn)采用異步無狀態(tài)掃描技術(shù)，可快速獲取到暴露面存活資產(chǎn)，掃描速度遠(yuǎn)超過傳統(tǒng)端口掃描器;對(duì)掃描探測(cè)資產(chǎn)采用針對(duì)性的輕量級(jí)探測(cè)策略，如同正常網(wǎng)絡(luò)訪問，不影響正常業(yè)務(wù)運(yùn)行。另外，通過對(duì)掃描探測(cè)任務(wù)進(jìn)行拆分，在資產(chǎn)發(fā)現(xiàn)行掃描時(shí)，將掃描IP列表、端口探測(cè)等拆分，打亂順序掃描，設(shè)定不確定的間隔進(jìn)行掃描，完成后重新組合，避免被掃描設(shè)備的安全防御機(jī)制所阻斷。傳統(tǒng)的端口掃描器對(duì)防火墻開放端口存在大量的誤報(bào)，但是可以通過技術(shù)手段解決誤報(bào)問題，提高資產(chǎn)探測(cè)結(jié)果準(zhǔn)確性：

• 分片：將可疑的探測(cè)包進(jìn)行分片處理。某些簡單的防火墻為了加快處理速度可能不會(huì)進(jìn)行重組檢查，以此避開其檢查。
• IP誘騙：在進(jìn)行掃描時(shí)，將真實(shí)IP地址和其他主機(jī)的IP地址混合使用，以此讓目標(biāo)主機(jī)的防火墻或IDS追蹤檢查大量的不同IP地址的數(shù)據(jù)包，降低其追查到自身的概率。注意，某些高級(jí)的IDS系統(tǒng)通過統(tǒng)計(jì)分析仍然可以追蹤出掃描者真實(shí)IP地址。
• IP偽裝：將自己發(fā)送的數(shù)據(jù)包中的IP地址偽裝成其他主機(jī)的地址，從而目標(biāo)機(jī)認(rèn)為是其他主機(jī)在與之通信。需要注意，如果希望接收到目標(biāo)主機(jī)的回復(fù)包，那么偽裝的IP需要位于統(tǒng)一局域網(wǎng)內(nèi)。另外，如果既希望隱蔽自己的IP地址，又希望收到目標(biāo)主機(jī)的回復(fù)包，那么可以嘗試使用idle scan或匿名代理(如TOR)等網(wǎng)絡(luò)技術(shù)。
• 掃描延時(shí)：某些防火墻針對(duì)發(fā)送過于頻繁的數(shù)據(jù)包會(huì)進(jìn)行嚴(yán)格的偵查，而且某些系統(tǒng)限制錯(cuò)誤報(bào)文產(chǎn)生的頻率，所以，定制該情況下發(fā)包的頻率和發(fā)包延時(shí)可以降低目標(biāo)主機(jī)的審查強(qiáng)度、節(jié)省網(wǎng)絡(luò)帶寬。
• 掃描發(fā)包計(jì)算：遠(yuǎn)程資產(chǎn)發(fā)現(xiàn)設(shè)備還提供多種規(guī)避技巧，比如指定使用某個(gè)網(wǎng)絡(luò)接口來發(fā)送數(shù)據(jù)包、指定發(fā)送包的最小長度、指定發(fā)包的MTU、指定TTL、指定偽裝的MAC地址、使用錯(cuò)誤檢查。

(2) 暴露面資產(chǎn)漏洞檢測(cè)方案

a. 漏洞威脅預(yù)警

漏洞威脅預(yù)警指已經(jīng)通過各種途徑被披露的通用漏洞，攻擊者通常會(huì)利用這些漏洞，快速研發(fā)自動(dòng)化攻擊工具，對(duì)存在這些漏洞的暴露面資產(chǎn)進(jìn)行攻擊，而造成企業(yè)暴露面資產(chǎn)損失。企業(yè)獲取這些漏洞信息并不及時(shí)，所以即使官方已經(jīng)針對(duì)這些漏洞發(fā)布漏洞補(bǔ)丁，也未能及時(shí)對(duì)系統(tǒng)進(jìn)行修復(fù)。

為及時(shí)解決企業(yè)在漏洞情報(bào)信息獲取不及時(shí)方面的缺失，可以通過漏洞情報(bào)共享平臺(tái)提供的漏洞情報(bào)信息，與暴露面資產(chǎn)應(yīng)用軟件產(chǎn)品類型、版本或者OVAL特征適配，第一時(shí)間內(nèi)獲知暴露面資產(chǎn)漏洞威脅預(yù)警。

b. 漏洞檢測(cè)

在具備漏洞情報(bào)共享平臺(tái)通報(bào)漏洞威脅情報(bào)的能力之外，應(yīng)進(jìn)行無損漏洞檢測(cè)程序的開發(fā)，完成對(duì)資產(chǎn)風(fēng)險(xiǎn)掃描和評(píng)估。暴露面資產(chǎn)漏洞檢測(cè)流程如圖2所示：

圖2 暴露面資產(chǎn)漏洞檢測(cè)流程

在全量暴露面資產(chǎn)中進(jìn)行針對(duì)性的漏洞檢測(cè)，可以在最快的時(shí)間進(jìn)行漏洞定位，以便管理人員可以更有針對(duì)性的進(jìn)行漏洞的修復(fù)操作。通過暴露面資產(chǎn)漏洞檢索方案，第一時(shí)間檢測(cè)出全部資源可能遭受某種已知或未知漏洞影響的范圍，受影響資源的分布以及受影響的關(guān)鍵特征等，攻防局勢(shì)盡在掌握。同時(shí)提供詳細(xì)的報(bào)表報(bào)告，資產(chǎn)漏洞數(shù)據(jù)支持，足以支撐企業(yè)的資產(chǎn)相關(guān)決策。

3. 小結(jié)：風(fēng)險(xiǎn)導(dǎo)向，態(tài)勢(shì)感知

互聯(lián)網(wǎng)暴露面資產(chǎn)的安全是網(wǎng)絡(luò)安全管理工作中的重中之重，各大型企業(yè)都對(duì)其投入了巨大的技術(shù)和管理支撐，遠(yuǎn)程檢測(cè)技術(shù)也成為了其中最為核心的技術(shù)要求能力之一。但隨著業(yè)務(wù)和技術(shù)的不斷演進(jìn)發(fā)展，企業(yè)需要向用戶提供更加豐富的業(yè)務(wù)能力、更加優(yōu)質(zhì)的用戶體驗(yàn)，這同時(shí)也使得互聯(lián)網(wǎng)暴露面資產(chǎn)的安全風(fēng)險(xiǎn)更加嚴(yán)峻，企業(yè)責(zé)任更加重大。因此，企業(yè)互聯(lián)網(wǎng)暴露面資產(chǎn)的遠(yuǎn)程檢測(cè)技術(shù)仍將是最值得關(guān)注和研究的重要技術(shù)領(lǐng)域。

網(wǎng)絡(luò)發(fā)展的同時(shí)也伴隨著更多更高級(jí)的網(wǎng)絡(luò)攻擊在威脅著網(wǎng)絡(luò)和信息安全，攻擊行為逐漸變得更加難以捕獲，為了應(yīng)對(duì)日益嚴(yán)峻的安全攻勢(shì)，需要以資產(chǎn)為基礎(chǔ)，引入安全威脅情報(bào)，疊加風(fēng)險(xiǎn)、能力、事件等安全信息，逐步形成安全態(tài)勢(shì)感知能力，能夠有效的對(duì)未知安全事件進(jìn)行及時(shí)和準(zhǔn)確地發(fā)現(xiàn)。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文