【摘 要】 本文通過實際案例闡述了基于測繪技術(shù)的網(wǎng)絡(luò)資產(chǎn)管理在網(wǎng)絡(luò)安全中的重要作用,重點分析了基于測繪技術(shù)的網(wǎng)絡(luò)資產(chǎn)管理系統(tǒng)在網(wǎng)絡(luò)安全監(jiān)測預(yù)警方面的核心能力,并提出基于測繪技術(shù)的融合網(wǎng)絡(luò)資產(chǎn)管理系統(tǒng)與流量監(jiān)測技術(shù)、云防御技術(shù)、蜜罐主動誘捕技術(shù)等于一體的網(wǎng)絡(luò)資產(chǎn)安全管理體系。
【關(guān)鍵詞】 網(wǎng)絡(luò)資產(chǎn)探測 資產(chǎn)指紋識別 MeowBot攻擊
1 引言
當(dāng)前,大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等新技術(shù)不斷顯現(xiàn),人類社會加速進(jìn)入數(shù)字經(jīng)濟(jì)時代。在網(wǎng)絡(luò)中運(yùn)行的數(shù)據(jù)成為全球科技和產(chǎn)業(yè)競爭的重要制高點,其重要性堪比石油資源。數(shù)據(jù)資源及其物理載體是網(wǎng)絡(luò)資產(chǎn)管理的主要對象,網(wǎng)絡(luò)資產(chǎn)管理的安全性直接決定了數(shù)據(jù)資源的安全性,所以網(wǎng)絡(luò)資產(chǎn)管理中的安全問題舉足輕重。網(wǎng)絡(luò)空間資產(chǎn)測繪數(shù)據(jù)中的網(wǎng)絡(luò)資產(chǎn)情報為構(gòu)建網(wǎng)絡(luò)資產(chǎn)安全管理提供了豐富的大數(shù)據(jù)資源和基礎(chǔ)能力,包括通過網(wǎng)絡(luò)資產(chǎn)測繪發(fā)現(xiàn)攻擊者資產(chǎn),為網(wǎng)絡(luò)攻擊行為的安全防御前置提供重要的技術(shù)基礎(chǔ);通過網(wǎng)絡(luò)資產(chǎn)測繪實時監(jiān)測網(wǎng)絡(luò)攻擊事件的全過程,對網(wǎng)絡(luò)攻擊行為進(jìn)行有效的預(yù)警和處置等。
2 網(wǎng)絡(luò)資產(chǎn)測繪發(fā)現(xiàn)攻擊者資產(chǎn)
從攻擊者視角看,網(wǎng)絡(luò)攻擊一般是從攻擊對象的資產(chǎn)情報收集開始的。社會組織機(jī)構(gòu)通過互聯(lián)網(wǎng)向社會開放各種服務(wù),這些服務(wù)同時也暴露了組織機(jī)構(gòu)的網(wǎng)絡(luò)資產(chǎn),給攻擊者提供了重要的資產(chǎn)情報。這些情報大致分為以下4個方面:一是資產(chǎn)暴露信息,包括IP信息、域名信息、服務(wù)信息、人員身份信息等;二是資產(chǎn)指紋信息,包括服務(wù)信息指紋、設(shè)備指紋、應(yīng)用系統(tǒng)指紋等;三是資產(chǎn)漏洞信息,包括操作系統(tǒng)漏洞、Web服務(wù)漏洞、數(shù)據(jù)庫漏洞、應(yīng)用程序漏洞等;四是資產(chǎn)失陷信息,包括資產(chǎn)被入侵的相關(guān)信息,如篡改、暗鏈、掛馬等。
上述信息主要通過全球網(wǎng)絡(luò)空間搜索引擎進(jìn)行收集。一般來說,攻擊者一方面需要根據(jù)其掌握的攻擊技術(shù)特征對網(wǎng)絡(luò)空間的相關(guān)資產(chǎn)進(jìn)行搜索,而后確定攻擊目標(biāo)和制定攻擊路線并發(fā)起攻擊,重要目標(biāo)的網(wǎng)絡(luò)資產(chǎn)情報是攻擊者最為關(guān)注的信息;另一方面,攻擊者也要利用一些網(wǎng)絡(luò)基礎(chǔ)設(shè)施包括攻擊工具、釣魚網(wǎng)站、C2服務(wù)器等實施攻擊。針對攻擊者的攻擊方法和特性,可以利用網(wǎng)絡(luò)資產(chǎn)測繪技術(shù)分析攻擊者的網(wǎng)絡(luò)資產(chǎn)測繪特征,并通過網(wǎng)絡(luò)空間測繪引擎發(fā)現(xiàn)攻擊者的網(wǎng)絡(luò)資產(chǎn),為網(wǎng)絡(luò)安全防御前置和預(yù)警提供重要的技術(shù)支撐。
以下簡單介紹海蓮花APT組織釣魚網(wǎng)站的測繪特征:
(1)通過攻擊樣本提取海蓮花APT組織釣魚網(wǎng)站,如thamcungbisu.org、baodachieu.com等;
(2)對比分析網(wǎng)站測繪特征;
(3)分析釣魚網(wǎng)站的測繪特征并根據(jù)以上測繪數(shù)據(jù)可以組合為如下測繪特征:
(4)利用網(wǎng)絡(luò)資產(chǎn)測繪搜索引擎搜索發(fā)現(xiàn)新的釣魚網(wǎng)站,如表1所示。
這些新發(fā)現(xiàn)的釣魚網(wǎng)站域名和IP等資產(chǎn)特征,可以進(jìn)一步應(yīng)用到網(wǎng)絡(luò)流量監(jiān)測和云防御平臺進(jìn)行安全監(jiān)測和預(yù)警,還可以用于對攻擊者的溯源取證。當(dāng)前,APT攻擊已經(jīng)成為了網(wǎng)絡(luò)安全的主要威脅來源,利用網(wǎng)絡(luò)空間測繪技術(shù)捕捉其網(wǎng)絡(luò)資產(chǎn)特征進(jìn)行安全監(jiān)測和預(yù)警,將成為反APT攻擊的重要技術(shù)手段。
3 網(wǎng)絡(luò)資產(chǎn)管理監(jiān)測預(yù)警網(wǎng)絡(luò)攻擊行為
從防御者視角看,網(wǎng)絡(luò)資產(chǎn)既是網(wǎng)絡(luò)安全保護(hù)的主要目標(biāo),也是與網(wǎng)絡(luò)攻擊者進(jìn)行防御角力的主戰(zhàn)場。為適應(yīng)網(wǎng)絡(luò)安全發(fā)展要求,基于測繪技術(shù)的網(wǎng)絡(luò)資產(chǎn)管理應(yīng)具備以下主要技術(shù)能力:一是網(wǎng)絡(luò)資產(chǎn)探測。網(wǎng)絡(luò)資產(chǎn)具有較強(qiáng)的技術(shù)性,手工統(tǒng)計難以適應(yīng)。利用網(wǎng)絡(luò)資產(chǎn)主動探測技術(shù)可以持續(xù)不間斷地對所屬網(wǎng)絡(luò)資產(chǎn)進(jìn)行掃描,建立動態(tài)資產(chǎn)清單。二是資產(chǎn)指紋識別。利用探測數(shù)據(jù)對所屬資產(chǎn)的操作系統(tǒng)、設(shè)備類型、端口/服務(wù)、應(yīng)用組件等進(jìn)行識別,掌握網(wǎng)絡(luò)資產(chǎn)的技術(shù)屬性,支持與漏洞信息關(guān)聯(lián)定位,對可疑的網(wǎng)絡(luò)安全威脅資產(chǎn)進(jìn)行監(jiān)測和預(yù)警。三是資產(chǎn)歸屬標(biāo)注。對所屬網(wǎng)絡(luò)資產(chǎn)與組織架構(gòu)內(nèi)人員和責(zé)任人進(jìn)行綁定,支持網(wǎng)絡(luò)資產(chǎn)的行為規(guī)律分析,監(jiān)測發(fā)現(xiàn)異常網(wǎng)絡(luò)行為。四是資產(chǎn)漏洞檢測。利用公開的漏洞信息庫,對所屬資產(chǎn)的漏洞進(jìn)行探測掃描。特別是要具備1Day漏洞驗證掃描能力,快速實現(xiàn)漏洞資產(chǎn)定位并進(jìn)行響應(yīng)和安全處置。
2020年4月,MeowBot攻擊利用ElasticSearch及MongoDB等數(shù)據(jù)庫的未授權(quán)訪問漏洞實施攻擊,網(wǎng)絡(luò)測繪引擎通過資產(chǎn)探測實現(xiàn)了對該攻擊的全過程跟蹤與監(jiān)測。
(1)探測發(fā)現(xiàn)全球被攻擊網(wǎng)絡(luò)資產(chǎn)。探測發(fā)現(xiàn)全球存在超62000個Elasticsearch服務(wù)器可被未授權(quán)訪問,其中被植入“nightlionsecurity.com”空索引15335個。
(2)發(fā)現(xiàn)新的攻擊“追隨者”。利用測繪引擎探測發(fā)現(xiàn),部分被攻擊主機(jī)除了被植入“nightlionsecurity.com”空索引以外,還出現(xiàn)了被植入“i_want_2_die”或者“sm1l3y_gang”等空索引的現(xiàn)象。該攻擊出現(xiàn)了新的追隨者。其中“i_want_2_die”空索引173個,“sm1l3y_gang”空索引91個。
(3)揭示攻擊者銷毀ES原有數(shù)據(jù)的破壞行為特征。測繪引擎探測發(fā)現(xiàn),攻擊者銷毀破壞ES原有數(shù)據(jù)后,會添加隨機(jī)字符加后綴為“-meow”的索引。
(4)發(fā)現(xiàn)MongoDB數(shù)據(jù)庫被MeowBot攻擊。2020年7月探測發(fā)現(xiàn)全球2317個MongoDB服務(wù)被meowbot攻擊。
(5)揭露攻擊意圖,1500個目標(biāo)被勒索。2020年7月,探測發(fā)現(xiàn)攻擊者宣稱被攻擊方必須在7天內(nèi)與其取得聯(lián)系,否則直接公開已經(jīng)被下載的相關(guān)敏感數(shù)據(jù)。
利用網(wǎng)絡(luò)空間測繪主動探測技術(shù)可以實現(xiàn)對網(wǎng)絡(luò)資產(chǎn)相關(guān)安全事件的全過程跟蹤和監(jiān)測,并發(fā)現(xiàn)安全事件不同發(fā)展階段的重要特征,從而揭示其攻擊目標(biāo)、技術(shù)手段、行為特征和意圖等。網(wǎng)絡(luò)攻防是一個動態(tài)過程,對網(wǎng)絡(luò)資產(chǎn)進(jìn)行動態(tài)管理是監(jiān)測和預(yù)防網(wǎng)絡(luò)安全威脅的基礎(chǔ)。
4 構(gòu)建多位一體的網(wǎng)絡(luò)資產(chǎn)安全管理體系
僅僅依靠網(wǎng)絡(luò)資產(chǎn)管理不可能解決所有網(wǎng)絡(luò)安全問題,但立足于測繪技術(shù)的網(wǎng)絡(luò)資產(chǎn)管理可以構(gòu)建更為開放、主動和動態(tài)的多位一體網(wǎng)絡(luò)資產(chǎn)安全管理系統(tǒng),可以與其他安全技術(shù)包括網(wǎng)絡(luò)流量監(jiān)測技術(shù)、云防御技術(shù)和蜜罐主動誘捕技術(shù)等進(jìn)行有機(jī)融合,構(gòu)建更有效的網(wǎng)絡(luò)安全防御機(jī)制。
4.1 資產(chǎn)信息是威脅情報的重要組成部分
威脅情報離不開資產(chǎn)信息。一是安全防護(hù)和安全威脅的目標(biāo)都是網(wǎng)絡(luò)資產(chǎn)。網(wǎng)絡(luò)安全漏洞總是與一定的網(wǎng)絡(luò)資產(chǎn)相關(guān)聯(lián),利用漏洞掃描工具和測繪技術(shù)可以實現(xiàn)漏洞資產(chǎn)的快速定位,提供精準(zhǔn)的安全威脅情況。二是安全攻擊技術(shù)同樣離不開網(wǎng)絡(luò)資產(chǎn),這類資產(chǎn)常稱為惡意資產(chǎn),如APT的釣魚網(wǎng)站、C2服務(wù)器、DDoS攻擊的源IP等。通過流量分析檢測識別這些惡意資產(chǎn)仍是目前安全防御的重要手段。三是攻擊受害者同樣也表現(xiàn)為網(wǎng)絡(luò)資產(chǎn)的某種改變,如上述案例MeowBot攻擊中數(shù)據(jù)庫資產(chǎn)被篡改。識別受害資產(chǎn)特征也是監(jiān)測網(wǎng)絡(luò)攻擊行為的重要技術(shù)方法。沒有資產(chǎn)信息的威脅情報是不準(zhǔn)確的,安全威脅的資產(chǎn)信息越精確,威脅情報的針對性和有效性也越強(qiáng),F(xiàn)代網(wǎng)絡(luò)空間測繪技術(shù)可以實現(xiàn)對網(wǎng)絡(luò)資產(chǎn)信息的主動探測和精確識別能力,包括IP和域名信息、設(shè)備類型和廠商、軟件及版本、端口和服務(wù)組件、證書和用戶等信息。這些資產(chǎn)信息在網(wǎng)絡(luò)攻防實戰(zhàn)中占據(jù)十分重要的地位,利用測繪技術(shù)對這些資產(chǎn)信息進(jìn)行有效的安全管理,是掌握網(wǎng)絡(luò)安全主動權(quán)的重要環(huán)節(jié)。
4.2 利用資產(chǎn)信息實現(xiàn)多種防御技術(shù)的統(tǒng)一和協(xié)同
目前,安全防御技術(shù)種類繁多。目前多采用網(wǎng)絡(luò)流量分析檢測技術(shù),主要利用流量旁路設(shè)備,對網(wǎng)絡(luò)流量進(jìn)行分析,對已知威脅和網(wǎng)絡(luò)異常行為構(gòu)建模型進(jìn)行檢測和快速鑒別,包括C&C通信、DDoS 攻擊、SSH/FTP暴力破解、SQL注入、DNS/ARP污染、漏洞掃描和漏洞攻擊、內(nèi)網(wǎng)平移、惡意軟件升級、隱蔽信道等網(wǎng)絡(luò)惡意行為;對各類網(wǎng)站、Web Mail、OA系統(tǒng)、CRM系統(tǒng)等進(jìn)行流量過濾,實現(xiàn)防DDoS攻擊、防黑客CC攻擊、防后門、防數(shù)據(jù)竊取等安全防御技術(shù);基于流量交互實現(xiàn)蜜罐等主動誘捕技術(shù)等。這些技術(shù)各有所長但都具有一定的局限性。要實現(xiàn)不同技術(shù)的威脅情報信息的快速共享,形成協(xié)同防御能力還是一大難題。
資產(chǎn)信息恰恰具有聯(lián)結(jié)各種防御技術(shù)的核心技術(shù)屬性。利用測繪技術(shù)可以對各類資產(chǎn)進(jìn)行精確的識別和標(biāo)注。對內(nèi)可以盤點所屬資產(chǎn),監(jiān)測其動態(tài)變化;對外可以主動識別和監(jiān)測惡意資產(chǎn)的動態(tài),發(fā)現(xiàn)已經(jīng)受害資產(chǎn)的特征,進(jìn)行預(yù)警。通過資產(chǎn)信息可以實現(xiàn)多種防御技術(shù)的協(xié)同。例如,對于新發(fā)現(xiàn)的APT釣魚網(wǎng)站信息,可以與流量分析安全技術(shù)結(jié)合,形成有效的檢測和防御技術(shù)。目前云技術(shù)的應(yīng)用和發(fā)展,還可以構(gòu)建聚合漏洞指紋庫、網(wǎng)絡(luò)空間測繪信息、全球網(wǎng)絡(luò)攻擊追蹤、業(yè)務(wù)系統(tǒng)安全輿情監(jiān)測等多維度動態(tài)防御矩陣,實現(xiàn)“一網(wǎng)攻擊、全網(wǎng)防護(hù)”的云協(xié)同防御能力。
4.3 測繪技術(shù)助力前置防御能力
以上所述的網(wǎng)絡(luò)安全防御技術(shù)主要基于流量分析。流量數(shù)據(jù)在獲取能力上來說是被動的,在時間和空間上都具有較大局限性。時間上表現(xiàn)為只能在攻擊行為進(jìn)行時才可能分析發(fā)現(xiàn),事前和事后均難以奏效;在空間上,無法感知受控流量之外的安全威脅,對這些威脅的監(jiān)測預(yù)警能力相對薄弱。利用主動探測測繪技術(shù)可以較好地彌補(bǔ)流量分析這方面的不足。在全球范圍內(nèi),對攻擊者的攻擊行動進(jìn)行全過程的跟蹤和監(jiān)測,及時掌握攻擊行為的變化過程,進(jìn)而提供預(yù)警和防御技術(shù)路線。網(wǎng)絡(luò)空間測繪技術(shù)具有主動性,可以根據(jù)需要對網(wǎng)絡(luò)空間主要網(wǎng)絡(luò)目標(biāo)進(jìn)行探測識別;同時具有實時性,通過周期性的持續(xù)探測可以實現(xiàn)對重點目標(biāo)和事件的有效監(jiān)測;還具有全球性,對等于網(wǎng)絡(luò)攻擊的無國界特征,測繪技術(shù)同樣可以覆蓋全球。這些優(yōu)勢可以彌補(bǔ)基于流量分析安全技術(shù)的局限性,真正實現(xiàn)具備敵動我動、敵未動我先動的前置防御能力。
5 結(jié)語
主動探測技術(shù)是網(wǎng)絡(luò)空間測繪的核心技術(shù)。綜合利用包括主動探測在內(nèi)的資產(chǎn)測繪技術(shù)和數(shù)據(jù)資源構(gòu)建多位一體的網(wǎng)絡(luò)資產(chǎn)管理體系,更有利于及時掌握網(wǎng)絡(luò)空間安全態(tài)勢的發(fā)展趨勢,在動態(tài)中形成監(jiān)測、預(yù)警、溯源取證等安全防御能力。網(wǎng)絡(luò)空間測繪從根本上是服務(wù)于網(wǎng)絡(luò)空間安全的,網(wǎng)絡(luò)空間測繪技術(shù)也是在網(wǎng)絡(luò)安全事件的對抗中不斷發(fā)展的。近年來,網(wǎng)絡(luò)空間測繪領(lǐng)域提出并不斷推廣“動態(tài)測繪”思想,目標(biāo)在于充分發(fā)揮網(wǎng)絡(luò)測繪平臺的網(wǎng)絡(luò)資產(chǎn)測繪數(shù)據(jù)能力,在實戰(zhàn)對抗中不斷豐富攻擊者和攻擊行為的測繪指紋特征,進(jìn)一步形成對網(wǎng)絡(luò)安全事件的監(jiān)測預(yù)警能力,提升網(wǎng)絡(luò)安全前置防御能力。
(原載于《保密科學(xué)技術(shù)》雜志2021年3月刊)