基于測繪技術的網絡資產安全管理研究

【摘   要】 本文通過實際案例闡述了基于測繪技術的網絡資產管理在網絡安全中的重要作用，重點分析了基于測繪技術的網絡資產管理系統在網絡安全監測預警方面的核心能力，并提出基于測繪技術的融合網絡資產管理系統與流量監測技術、云防御技術、蜜罐主動誘捕技術等于一體的網絡資產安全管理體系。

【關鍵詞】 網絡資產探測 資產指紋識別 MeowBot攻擊

1 引言

當前，大數據、云計算、物聯網、人工智能、區塊鏈等新技術不斷顯現，人類社會加速進入數字經濟時代。在網絡中運行的數據成為全球科技和產業競爭的重要制高點，其重要性堪比石油資源。數據資源及其物理載體是網絡資產管理的主要對象，網絡資產管理的安全性直接決定了數據資源的安全性，所以網絡資產管理中的安全問題舉足輕重。網絡空間資產測繪數據中的網絡資產情報為構建網絡資產安全管理提供了豐富的大數據資源和基礎能力，包括通過網絡資產測繪發現攻擊者資產，為網絡攻擊行為的安全防御前置提供重要的技術基礎；通過網絡資產測繪實時監測網絡攻擊事件的全過程，對網絡攻擊行為進行有效的預警和處置等。

2 網絡資產測繪發現攻擊者資產

從攻擊者視角看，網絡攻擊一般是從攻擊對象的資產情報收集開始的。社會組織機構通過互聯網向社會開放各種服務，這些服務同時也暴露了組織機構的網絡資產，給攻擊者提供了重要的資產情報。這些情報大致分為以下4個方面：一是資產暴露信息，包括IP信息、域名信息、服務信息、人員身份信息等；二是資產指紋信息，包括服務信息指紋、設備指紋、應用系統指紋等；三是資產漏洞信息，包括操作系統漏洞、Web服務漏洞、數據庫漏洞、應用程序漏洞等；四是資產失陷信息，包括資產被入侵的相關信息，如篡改、暗鏈、掛馬等。

上述信息主要通過全球網絡空間搜索引擎進行收集。一般來說，攻擊者一方面需要根據其掌握的攻擊技術特征對網絡空間的相關資產進行搜索，而后確定攻擊目標和制定攻擊路線并發起攻擊，重要目標的網絡資產情報是攻擊者最為關注的信息；另一方面，攻擊者也要利用一些網絡基礎設施包括攻擊工具、釣魚網站、C2服務器等實施攻擊。針對攻擊者的攻擊方法和特性，可以利用網絡資產測繪技術分析攻擊者的網絡資產測繪特征，并通過網絡空間測繪引擎發現攻擊者的網絡資產，為網絡安全防御前置和預警提供重要的技術支撐。

以下簡單介紹海蓮花APT組織釣魚網站的測繪特征：

（1）通過攻擊樣本提取海蓮花APT組織釣魚網站，如thamcungbisu.org、baodachieu.com等；

（2）對比分析網站測繪特征；

（3）分析釣魚網站的測繪特征并根據以上測繪數據可以組合為如下測繪特征：

（4）利用網絡資產測繪搜索引擎搜索發現新的釣魚網站，如表1所示。

這些新發現的釣魚網站域名和IP等資產特征，可以進一步應用到網絡流量監測和云防御平臺進行安全監測和預警，還可以用于對攻擊者的溯源取證。當前，APT攻擊已經成為了網絡安全的主要威脅來源，利用網絡空間測繪技術捕捉其網絡資產特征進行安全監測和預警，將成為反APT攻擊的重要技術手段。

3 網絡資產管理監測預警網絡攻擊行為

從防御者視角看，網絡資產既是網絡安全保護的主要目標，也是與網絡攻擊者進行防御角力的主戰場。為適應網絡安全發展要求，基于測繪技術的網絡資產管理應具備以下主要技術能力：一是網絡資產探測。網絡資產具有較強的技術性，手工統計難以適應。利用網絡資產主動探測技術可以持續不間斷地對所屬網絡資產進行掃描，建立動態資產清單。二是資產指紋識別。利用探測數據對所屬資產的操作系統、設備類型、端口/服務、應用組件等進行識別，掌握網絡資產的技術屬性，支持與漏洞信息關聯定位，對可疑的網絡安全威脅資產進行監測和預警。三是資產歸屬標注。對所屬網絡資產與組織架構內人員和責任人進行綁定，支持網絡資產的行為規律分析，監測發現異常網絡行為。四是資產漏洞檢測。利用公開的漏洞信息庫，對所屬資產的漏洞進行探測掃描。特別是要具備1Day漏洞驗證掃描能力，快速實現漏洞資產定位并進行響應和安全處置。

2020年4月，MeowBot攻擊利用ElasticSearch及MongoDB等數據庫的未授權訪問漏洞實施攻擊，網絡測繪引擎通過資產探測實現了對該攻擊的全過程跟蹤與監測。

（1）探測發現全球被攻擊網絡資產。探測發現全球存在超62000個Elasticsearch服務器可被未授權訪問，其中被植入“nightlionsecurity.com”空索引15335個。

（2）發現新的攻擊“追隨者”。利用測繪引擎探測發現，部分被攻擊主機除了被植入“nightlionsecurity.com”空索引以外，還出現了被植入“i_want_2_die”或者“sm1l3y_gang”等空索引的現象。該攻擊出現了新的追隨者。其中“i_want_2_die”空索引173個，“sm1l3y_gang”空索引91個。

（3）揭示攻擊者銷毀ES原有數據的破壞行為特征。測繪引擎探測發現，攻擊者銷毀破壞ES原有數據后，會添加隨機字符加后綴為“-meow”的索引。

（4）發現MongoDB數據庫被MeowBot攻擊。2020年7月探測發現全球2317個MongoDB服務被meowbot攻擊。

（5）揭露攻擊意圖，1500個目標被勒索。2020年7月，探測發現攻擊者宣稱被攻擊方必須在7天內與其取得聯系，否則直接公開已經被下載的相關敏感數據。

利用網絡空間測繪主動探測技術可以實現對網絡資產相關安全事件的全過程跟蹤和監測，并發現安全事件不同發展階段的重要特征，從而揭示其攻擊目標、技術手段、行為特征和意圖等。網絡攻防是一個動態過程，對網絡資產進行動態管理是監測和預防網絡安全威脅的基礎。

4 構建多位一體的網絡資產安全管理體系

僅僅依靠網絡資產管理不可能解決所有網絡安全問題，但立足于測繪技術的網絡資產管理可以構建更為開放、主動和動態的多位一體網絡資產安全管理系統，可以與其他安全技術包括網絡流量監測技術、云防御技術和蜜罐主動誘捕技術等進行有機融合，構建更有效的網絡安全防御機制。

4.1 資產信息是威脅情報的重要組成部分

威脅情報離不開資產信息。一是安全防護和安全威脅的目標都是網絡資產。網絡安全漏洞總是與一定的網絡資產相關聯，利用漏洞掃描工具和測繪技術可以實現漏洞資產的快速定位，提供精準的安全威脅情況。二是安全攻擊技術同樣離不開網絡資產，這類資產常稱為惡意資產，如APT的釣魚網站、C2服務器、DDoS攻擊的源IP等。通過流量分析檢測識別這些惡意資產仍是目前安全防御的重要手段。三是攻擊受害者同樣也表現為網絡資產的某種改變，如上述案例MeowBot攻擊中數據庫資產被篡改。識別受害資產特征也是監測網絡攻擊行為的重要技術方法。沒有資產信息的威脅情報是不準確的，安全威脅的資產信息越精確，威脅情報的針對性和有效性也越強。現代網絡空間測繪技術可以實現對網絡資產信息的主動探測和精確識別能力，包括IP和域名信息、設備類型和廠商、軟件及版本、端口和服務組件、證書和用戶等信息。這些資產信息在網絡攻防實戰中占據十分重要的地位，利用測繪技術對這些資產信息進行有效的安全管理，是掌握網絡安全主動權的重要環節。

4.2 利用資產信息實現多種防御技術的統一和協同

目前，安全防御技術種類繁多。目前多采用網絡流量分析檢測技術，主要利用流量旁路設備，對網絡流量進行分析，對已知威脅和網絡異常行為構建模型進行檢測和快速鑒別，包括C&C通信、DDoS 攻擊、SSH/FTP暴力破解、SQL注入、DNS/ARP污染、漏洞掃描和漏洞攻擊、內網平移、惡意軟件升級、隱蔽信道等網絡惡意行為；對各類網站、Web Mail、OA系統、CRM系統等進行流量過濾，實現防DDoS攻擊、防黑客CC攻擊、防后門、防數據竊取等安全防御技術；基于流量交互實現蜜罐等主動誘捕技術等。這些技術各有所長但都具有一定的局限性。要實現不同技術的威脅情報信息的快速共享，形成協同防御能力還是一大難題。

資產信息恰恰具有聯結各種防御技術的核心技術屬性。利用測繪技術可以對各類資產進行精確的識別和標注。對內可以盤點所屬資產，監測其動態變化；對外可以主動識別和監測惡意資產的動態，發現已經受害資產的特征，進行預警。通過資產信息可以實現多種防御技術的協同。例如，對于新發現的APT釣魚網站信息，可以與流量分析安全技術結合，形成有效的檢測和防御技術。目前云技術的應用和發展，還可以構建聚合漏洞指紋庫、網絡空間測繪信息、全球網絡攻擊追蹤、業務系統安全輿情監測等多維度動態防御矩陣，實現“一網攻擊、全網防護”的云協同防御能力。

4.3 測繪技術助力前置防御能力

以上所述的網絡安全防御技術主要基于流量分析。流量數據在獲取能力上來說是被動的，在時間和空間上都具有較大局限性。時間上表現為只能在攻擊行為進行時才可能分析發現，事前和事后均難以奏效；在空間上，無法感知受控流量之外的安全威脅，對這些威脅的監測預警能力相對薄弱。利用主動探測測繪技術可以較好地彌補流量分析這方面的不足。在全球范圍內，對攻擊者的攻擊行動進行全過程的跟蹤和監測，及時掌握攻擊行為的變化過程，進而提供預警和防御技術路線。網絡空間測繪技術具有主動性，可以根據需要對網絡空間主要網絡目標進行探測識別；同時具有實時性，通過周期性的持續探測可以實現對重點目標和事件的有效監測；還具有全球性，對等于網絡攻擊的無國界特征，測繪技術同樣可以覆蓋全球。這些優勢可以彌補基于流量分析安全技術的局限性，真正實現具備敵動我動、敵未動我先動的前置防御能力。

5 結語

主動探測技術是網絡空間測繪的核心技術。綜合利用包括主動探測在內的資產測繪技術和數據資源構建多位一體的網絡資產管理體系，更有利于及時掌握網絡空間安全態勢的發展趨勢，在動態中形成監測、預警、溯源取證等安全防御能力。網絡空間測繪從根本上是服務于網絡空間安全的，網絡空間測繪技術也是在網絡安全事件的對抗中不斷發展的。近年來，網絡空間測繪領域提出并不斷推廣“動態測繪”思想，目標在于充分發揮網絡測繪平臺的網絡資產測繪數據能力，在實戰對抗中不斷豐富攻擊者和攻擊行為的測繪指紋特征，進一步形成對網絡安全事件的監測預警能力，提升網絡安全前置防御能力。

 

（原載于《保密科學技術》雜志2021年3月刊）