欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

从一个实践场景谈“从资产发现到风险监测”模式解决方案的应用

来源:本站整理 作者:佚名 时间:2018-08-08 TAG: 我要投稿

一、前言
所谓“从资产发现到风险监测”模式的解决方案,是在广义的Web安全领域而言,指蕴含了“通过资产发现过程后,再基于资产数据做风险监测”这样一个基本过程的各种解决方案。比如市面上那些输入一个主域名后自动进行资产和漏洞发现的安全产品,都可以看作是此类。

个人印象里,类似“资产发现”、“风险感知”这类的概念在前几年里被提的比较多,大家那时候比较普遍地开始以工程化思维实践着这方面的工作。在甲方做安全运维的、在安全公司做产品和服务的、民间白帽子等,都以各自的方式或多或少地实践着“从资产发现到风险监测”模式的解决方案。本文主要谈谈在笔者经历过的一个场景中“从资产发现到风险监测”模式解决方案的实践应用。
二、一个实践场景
1. 背景介绍
我们作为安全服务提供商,客户为某政府单位的信息中心。该单位下属有十数个业务单位,各业务单位总共有上百个信息系统。这些信息的服务器都放置在中心机房,信息中心负有对其进行安全监管的职责。信息中心掌握机房网络的管理权限,但各服务器的管理权限由各自所属的业务单位掌握。
现在面临的问题是,因各种现实的原因,各业务单位对各自的信息系统缺乏基本管理更不谈安全管理。而信息中心也缺乏安全监测的机制,搞不清当前到底有哪些信息系统哪些开放服务,搞不清哪些信息系统存在安全风险,也不知道每天新出风安全漏洞里哪些会对我有影响哪些无影响。
针对上述情况,我们给客户设计了一个整体的解决方案,其中就确立了“从资产发现到风险监测”这样一条基本过程,即要基于实时可靠的资产数据去有条理地做风险监测工作。
本文所谓数据可靠,以熟知的端口数据举例来说:数据没什么遗漏,实际有100个开放端口找到了99个;数据有效率是足够高的,提供的100个开放端口中99个是有效的;数据是足够高精确的,100个开放端口对应的服务99个都识别对了;数据是足够稳定的,什么时候来取数据都是这么可靠的。
2. 基础逻辑构建
在实施工程之前,我们首先要在逻辑上保证“从资产发现到风险监测”这个过程在实践中的可行性。显然,这个过程会涉及到资产发现和风险监测这两个过程。二者作为独立过程已经有很多现实的可行经验存在,但这还不足以得出“从资产发现到风险监测”这个整体过程可行的结论。“从资产发现到风险监测”这个过程不是一次性或间断性的存在,是持续地存在。在一个持续过程中,怎么保证它总是可用的?在这个过程里风险监测依赖于资产发现过程的结果,那么首先要解决一个问题:怎么保证资产数据的可靠?
显然,风险监测过程需要的是一个长期综合的、经过加工和补充的资产数据。换言之,资产发现过程和风险监测过程二者不能直接衔接,中间需要一个“长期综合、加工补充”的过程来串联。从而,我们把“从资产发现到风险监测”这个过程从逻辑上划分为资产发现、资产管理(串联过程)、风险监测三个过程。
资产管理过程中的资产数据存放我们称之为归档区,自动化资产发现的结果由审核机制后进入资产数据归档区,资产数据归档区的数据由失效监控机制剔除归档区,失效机制的依据是资产长期状态而非当前状态,于是归档区便保证了资产数据的质量。
现在,我们有了在项目里实践“从资产发现到风险监测”这个过程的基础逻辑架构了。
3. 一些“高层设计”
我在内部会用到“高层设计”这个概念,最初也是从别处看到的这个词,挺符合我想表达的那种感觉,就拿来用了。我们做一个事的核心目的与具体的实施内容这两端之间总是有串联的逻辑,我所谓高层设计就是指这些串联逻辑中比较关键的以及更靠近核心目的一端的内容。简单来说,可以认为就是那些我们在事前考虑的比较多的东西,好比我们要买房子首先会考虑需要的户型、能承当的首付额度、月供能力等,这些就是我们做买房子这个事的高层约束。由于这些内容约束着落地但本身不是事情的落地,所以说高层。
在基础逻辑之上,我们需要做一些一高层设计,对整个实施过程建立一些高层的逻辑约束,对实施过程中一些关键的问题制定解决方案。从而能基本确保整个过程在项目实践中是可行的且是能满足我们实际需要的。
资产发现过程使用白盒+黑盒模式  
白盒指我们能以获取网络设备配置、侦听网络流量等方式进行资产发现。黑盒指我们通过外部盲目、暴力、猜解等方式进行资产发现。以端口扫描来举例,我们可以对所有IP的所有/常用端口进行扫描来发现开放端口,这叫黑盒模式。我们也可以获得出口防火墙的NAT映射表来对指定IP和端口进行探测,这叫白盒模式。黑盒或白盒任一模式单独运行都要能提供比较可靠的资产数据,常态下我们使用白+黑模式以提供高质量的资产发现结果。
为什么需要任一模式单独运行也能提供比较可靠的资产数据,对于白盒模式,一是我们不能获得足够的白盒资源,再者很多白盒资源我们不能自动化、实时化调用,这些不只是单纯的技术问题。而黑盒模式,无法保证其能长期持续地提供可靠数据。所以有两种模式可用,才能最大程度保证我们的服务不会中断。
以IP地址作为资产数据的根键  
资产发现过程一是需要有一个资产根键,其可以关联所有资产信息,正如市面上很多类似产品使用主域名作串联一样;二是需要一个资产发掘的界线。而客户单位所有要监管的资产都在中心机房,其外网IP地址范围是确定的,在范围里的都是客户的资产,不在范围里的都不是客户资产,正好满足了这两个要求。
端口数据和Web应用系统数据是两项关键数据  
端口数据指以开放端口、对应服务及一些其它属性构成的开放端口列表数据集,端口数据为什么是关键数据这个不必要阐述了。这里提供可靠的端口数据,这个是不难实现的。
Web应用系统数据指由Web应用系统的地址及一些相关属性构成的Web应用系统列表数据集。我们说的安全监测的主要便是指Web安全,而Web应用系统是Web安全的主体。不管端口扫描也好、服务识别也好、子域名挖掘也好,都有一个重要的目的就是寻找Web应用系统。所以Web应用系统列表是资产发现的一个核心目的,也是后续安全监测的主要输入数据。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载