【摘 要】 本文通过实际案例阐述了基于测绘技术的网络资产管理在网络安全中的重要作用,重点分析了基于测绘技术的网络资产管理系统在网络安全监测预警方面的核心能力,并提出基于测绘技术的融合网络资产管理系统与流量监测技术、云防御技术、蜜罐主动诱捕技术等于一体的网络资产安全管理体系。
【关键词】 网络资产探测 资产指纹识别 MeowBot攻击
1 引言
当前,大数据、云计算、物联网、人工智能、区块链等新技术不断显现,人类社会加速进入数字经济时代。在网络中运行的数据成为全球科技和产业竞争的重要制高点,其重要性堪比石油资源。数据资源及其物理载体是网络资产管理的主要对象,网络资产管理的安全性直接决定了数据资源的安全性,所以网络资产管理中的安全问题举足轻重。网络空间资产测绘数据中的网络资产情报为构建网络资产安全管理提供了丰富的大数据资源和基础能力,包括通过网络资产测绘发现攻击者资产,为网络攻击行为的安全防御前置提供重要的技术基础;通过网络资产测绘实时监测网络攻击事件的全过程,对网络攻击行为进行有效的预警和处置等。
2 网络资产测绘发现攻击者资产
从攻击者视角看,网络攻击一般是从攻击对象的资产情报收集开始的。社会组织机构通过互联网向社会开放各种服务,这些服务同时也暴露了组织机构的网络资产,给攻击者提供了重要的资产情报。这些情报大致分为以下4个方面:一是资产暴露信息,包括IP信息、域名信息、服务信息、人员身份信息等;二是资产指纹信息,包括服务信息指纹、设备指纹、应用系统指纹等;三是资产漏洞信息,包括操作系统漏洞、Web服务漏洞、数据库漏洞、应用程序漏洞等;四是资产失陷信息,包括资产被入侵的相关信息,如篡改、暗链、挂马等。
上述信息主要通过全球网络空间搜索引擎进行收集。一般来说,攻击者一方面需要根据其掌握的攻击技术特征对网络空间的相关资产进行搜索,而后确定攻击目标和制定攻击路线并发起攻击,重要目标的网络资产情报是攻击者最为关注的信息;另一方面,攻击者也要利用一些网络基础设施包括攻击工具、钓鱼网站、C2服务器等实施攻击。针对攻击者的攻击方法和特性,可以利用网络资产测绘技术分析攻击者的网络资产测绘特征,并通过网络空间测绘引擎发现攻击者的网络资产,为网络安全防御前置和预警提供重要的技术支撑。
以下简单介绍海莲花APT组织钓鱼网站的测绘特征:
(1)通过攻击样本提取海莲花APT组织钓鱼网站,如thamcungbisu.org、baodachieu.com等;
(2)对比分析网站测绘特征;
(3)分析钓鱼网站的测绘特征并根据以上测绘数据可以组合为如下测绘特征:
(4)利用网络资产测绘搜索引擎搜索发现新的钓鱼网站,如表1所示。
这些新发现的钓鱼网站域名和IP等资产特征,可以进一步应用到网络流量监测和云防御平台进行安全监测和预警,还可以用于对攻击者的溯源取证。当前,APT攻击已经成为了网络安全的主要威胁来源,利用网络空间测绘技术捕捉其网络资产特征进行安全监测和预警,将成为反APT攻击的重要技术手段。
3 网络资产管理监测预警网络攻击行为
从防御者视角看,网络资产既是网络安全保护的主要目标,也是与网络攻击者进行防御角力的主战场。为适应网络安全发展要求,基于测绘技术的网络资产管理应具备以下主要技术能力:一是网络资产探测。网络资产具有较强的技术性,手工统计难以适应。利用网络资产主动探测技术可以持续不间断地对所属网络资产进行扫描,建立动态资产清单。二是资产指纹识别。利用探测数据对所属资产的操作系统、设备类型、端口/服务、应用组件等进行识别,掌握网络资产的技术属性,支持与漏洞信息关联定位,对可疑的网络安全威胁资产进行监测和预警。三是资产归属标注。对所属网络资产与组织架构内人员和责任人进行绑定,支持网络资产的行为规律分析,监测发现异常网络行为。四是资产漏洞检测。利用公开的漏洞信息库,对所属资产的漏洞进行探测扫描。特别是要具备1Day漏洞验证扫描能力,快速实现漏洞资产定位并进行响应和安全处置。
2020年4月,MeowBot攻击利用ElasticSearch及MongoDB等数据库的未授权访问漏洞实施攻击,网络测绘引擎通过资产探测实现了对该攻击的全过程跟踪与监测。
(1)探测发现全球被攻击网络资产。探测发现全球存在超62000个Elasticsearch服务器可被未授权访问,其中被植入“nightlionsecurity.com”空索引15335个。
(2)发现新的攻击“追随者”。利用测绘引擎探测发现,部分被攻击主机除了被植入“nightlionsecurity.com”空索引以外,还出现了被植入“i_want_2_die”或者“sm1l3y_gang”等空索引的现象。该攻击出现了新的追随者。其中“i_want_2_die”空索引173个,“sm1l3y_gang”空索引91个。
(3)揭示攻击者销毁ES原有数据的破坏行为特征。测绘引擎探测发现,攻击者销毁破坏ES原有数据后,会添加随机字符加后缀为“-meow”的索引。
(4)发现MongoDB数据库被MeowBot攻击。2020年7月探测发现全球2317个MongoDB服务被meowbot攻击。
(5)揭露攻击意图,1500个目标被勒索。2020年7月,探测发现攻击者宣称被攻击方必须在7天内与其取得联系,否则直接公开已经被下载的相关敏感数据。
利用网络空间测绘主动探测技术可以实现对网络资产相关安全事件的全过程跟踪和监测,并发现安全事件不同发展阶段的重要特征,从而揭示其攻击目标、技术手段、行为特征和意图等。网络攻防是一个动态过程,对网络资产进行动态管理是监测和预防网络安全威胁的基础。
4 构建多位一体的网络资产安全管理体系
仅仅依靠网络资产管理不可能解决所有网络安全问题,但立足于测绘技术的网络资产管理可以构建更为开放、主动和动态的多位一体网络资产安全管理系统,可以与其他安全技术包括网络流量监测技术、云防御技术和蜜罐主动诱捕技术等进行有机融合,构建更有效的网络安全防御机制。
4.1 资产信息是威胁情报的重要组成部分
威胁情报离不开资产信息。一是安全防护和安全威胁的目标都是网络资产。网络安全漏洞总是与一定的网络资产相关联,利用漏洞扫描工具和测绘技术可以实现漏洞资产的快速定位,提供精准的安全威胁情况。二是安全攻击技术同样离不开网络资产,这类资产常称为恶意资产,如APT的钓鱼网站、C2服务器、DDoS攻击的源IP等。通过流量分析检测识别这些恶意资产仍是目前安全防御的重要手段。三是攻击受害者同样也表现为网络资产的某种改变,如上述案例MeowBot攻击中数据库资产被篡改。识别受害资产特征也是监测网络攻击行为的重要技术方法。没有资产信息的威胁情报是不准确的,安全威胁的资产信息越精确,威胁情报的针对性和有效性也越强。现代网络空间测绘技术可以实现对网络资产信息的主动探测和精确识别能力,包括IP和域名信息、设备类型和厂商、软件及版本、端口和服务组件、证书和用户等信息。这些资产信息在网络攻防实战中占据十分重要的地位,利用测绘技术对这些资产信息进行有效的安全管理,是掌握网络安全主动权的重要环节。
4.2 利用资产信息实现多种防御技术的统一和协同
目前,安全防御技术种类繁多。目前多采用网络流量分析检测技术,主要利用流量旁路设备,对网络流量进行分析,对已知威胁和网络异常行为构建模型进行检测和快速鉴别,包括C&C通信、DDoS 攻击、SSH/FTP暴力破解、SQL注入、DNS/ARP污染、漏洞扫描和漏洞攻击、内网平移、恶意软件升级、隐蔽信道等网络恶意行为;对各类网站、Web Mail、OA系统、CRM系统等进行流量过滤,实现防DDoS攻击、防黑客CC攻击、防后门、防数据窃取等安全防御技术;基于流量交互实现蜜罐等主动诱捕技术等。这些技术各有所长但都具有一定的局限性。要实现不同技术的威胁情报信息的快速共享,形成协同防御能力还是一大难题。
资产信息恰恰具有联结各种防御技术的核心技术属性。利用测绘技术可以对各类资产进行精确的识别和标注。对内可以盘点所属资产,监测其动态变化;对外可以主动识别和监测恶意资产的动态,发现已经受害资产的特征,进行预警。通过资产信息可以实现多种防御技术的协同。例如,对于新发现的APT钓鱼网站信息,可以与流量分析安全技术结合,形成有效的检测和防御技术。目前云技术的应用和发展,还可以构建聚合漏洞指纹库、网络空间测绘信息、全球网络攻击追踪、业务系统安全舆情监测等多维度动态防御矩阵,实现“一网攻击、全网防护”的云协同防御能力。
4.3 测绘技术助力前置防御能力
以上所述的网络安全防御技术主要基于流量分析。流量数据在获取能力上来说是被动的,在时间和空间上都具有较大局限性。时间上表现为只能在攻击行为进行时才可能分析发现,事前和事后均难以奏效;在空间上,无法感知受控流量之外的安全威胁,对这些威胁的监测预警能力相对薄弱。利用主动探测测绘技术可以较好地弥补流量分析这方面的不足。在全球范围内,对攻击者的攻击行动进行全过程的跟踪和监测,及时掌握攻击行为的变化过程,进而提供预警和防御技术路线。网络空间测绘技术具有主动性,可以根据需要对网络空间主要网络目标进行探测识别;同时具有实时性,通过周期性的持续探测可以实现对重点目标和事件的有效监测;还具有全球性,对等于网络攻击的无国界特征,测绘技术同样可以覆盖全球。这些优势可以弥补基于流量分析安全技术的局限性,真正实现具备敌动我动、敌未动我先动的前置防御能力。
5 结语
主动探测技术是网络空间测绘的核心技术。综合利用包括主动探测在内的资产测绘技术和数据资源构建多位一体的网络资产管理体系,更有利于及时掌握网络空间安全态势的发展趋势,在动态中形成监测、预警、溯源取证等安全防御能力。网络空间测绘从根本上是服务于网络空间安全的,网络空间测绘技术也是在网络安全事件的对抗中不断发展的。近年来,网络空间测绘领域提出并不断推广“动态测绘”思想,目标在于充分发挥网络测绘平台的网络资产测绘数据能力,在实战对抗中不断丰富攻击者和攻击行为的测绘指纹特征,进一步形成对网络安全事件的监测预警能力,提升网络安全前置防御能力。
(原载于《保密科学技术》杂志2021年3月刊)