鄧曉晖、李偉辰、曹文傑
(北京知道創宇資訊技術股份有限公司 )
〖摘要〗:本文通過實際案例闡述了基于測繪技術的網絡資産管理在網絡安全攻防中的重要作用,重點分析了基于測繪技術的網絡資産管理系統在網絡安全監測預警的核心能力。最後提出基于測繪技術的網絡資産管理系統與流量監測技術、雲防禦技術、蜜罐主動誘捕技術等融合建構多位一體的網絡資産安全管理體系。
〖關鍵詞〗:網絡資産探測、資産指紋識别、MeowBot攻擊
01
引言
目前,大資料、雲計算、物聯網、人工智能、區塊鍊等新技術不斷顯現,人類加速進入數字經濟時代。在各種網絡中運作的資料成為全球科技和産業競争的重要制高點。資料成為數字經濟時代如同石油一樣重要的資源。而這些數字資源及其實體載體就是網絡資産管理的主要對象。網絡資産管理的安全性直接決定了數字資源的安全性,網絡資産管理中的安全問題舉足輕重。網絡空間資産測繪資料中的網絡資産情報為建構網絡資産安全管理提供了豐富的大資料資源和基礎能力。包括通過網絡資産測繪發現攻擊者資産,為網絡攻擊行為的安全防禦前置提供重要的技術基礎;通過網絡資産測繪實時監測網絡攻擊事件的全過程,對網絡攻擊行為進行有效的預警和處置等。
02
網絡資産測繪情報為網安防禦前置提供技術支撐
從攻擊者視角看,網絡攻擊一般是從攻擊對象的資産情報收集開始的。社會組織機構通過網際網路向社會開放各種服務,這些服務同時也暴露了組織機構的網絡資産,給攻擊者提供了重要的資産情報。這些情報大緻分為以下幾個方面:一是資産暴露資訊,包括IP資訊、域名資訊、服務資訊、人員身份資訊等;二是資産指紋資訊,包括服務資訊指紋、裝置指紋、應用系統指紋等等;三是資産漏洞資訊,包括作業系統漏洞、web服務漏洞、資料庫漏洞、應用程式漏洞等;四是資産失陷資訊,包括資産被入侵的相關資訊如篡改、暗鍊、挂馬等。
上述資訊主要通過全球網絡空間搜尋引擎進行收集。一般來說,攻擊者一方面需要根據其掌握的攻擊技術特征對網絡空間的相關資産進行搜尋,而後确定攻擊目标和制定攻擊路線并發起攻擊。重要目标的網絡資産情報是攻擊者最為關注的資訊;另一方面,攻擊者也要利用一些網絡設施包括攻擊工具、釣魚網站、C2伺服器等實施攻擊。針對攻擊者的攻擊方法和特性,可以利用網絡資産測繪技術分析攻擊者的網絡資産測繪特征,并通過網絡空間測繪引擎發現攻擊者的網絡資産,為網絡安全防禦前置和預警提供重要的技術支撐。
以下簡單介紹一下海蓮花APT組織釣魚網站的測繪特征
(1)通過攻擊樣本提取海蓮花APT組織釣魚網站。如thamcungbisu.org、baodachieu.com等;
( 2 )網站測繪特征對比分析;
( 3 )分析釣魚網站的測繪特征并根據以上測繪資料可以組合為如下測繪特征:
( 4 )利用網絡資産測繪搜尋引擎搜尋發現新的釣魚網站,如表1 所示。
這些新發現的釣魚網站域名和IP等資産特征,可以進一步應用到網絡流量監測和雲防禦平台進行安全監測和預警,還可以用于對攻擊者進行溯源驗證。目前,APT攻擊已經成為了網絡安全的主要威脅來源,利用網絡空間測繪技術捕捉其網絡資産特征進行安全監測和預警,将成為反APT攻擊的重要技術手段。
03
網絡資産管理監測預警網絡安全威脅
從防禦者視角看,網絡資産既是網絡安全保護的主要目标,也是與網絡攻擊者進行防禦角力的主戰場。為适應網絡安全發展要求,基于測繪技術的網絡資産管理應具備以下主要技術能力:一是網絡資産探測。網絡資産具有較強的技術性,手工統計難以适應。利用網絡資産主動探測技術可以持續不間斷的對所屬網絡資産進行掃描,建立動态資産清單。二是資産指紋識别。利用探測資料對所屬資産的作業系統、裝置類型、端口/服務、應用元件等進行識别,掌握網絡資産的技術屬性,支援與漏洞資訊關聯定位,對可疑的網絡安全威脅資産進行監測和預警。三是資産歸屬标注。對所屬網絡資産與組織架構内人員和責任人進行綁定,支援網絡資産的行為規律分析,監測發現異常網絡行為。四是資産漏洞檢測。利用公開的漏洞資訊庫,對所屬資産的漏洞進行探測掃描。特别是要具備1DAY漏洞驗證掃描能力,快速實作漏洞資産定位并進行響應和安全處置。
2020年4月MeowBot攻擊利用ElasticSearch及MongoDB等資料庫的未授權通路漏洞實施攻擊。網絡測繪引擎通過資産探測實作了該攻擊的全過程跟蹤與監測。
(1)探測發現全球被攻擊網絡資産。探測發現全球存在超62,000 個Elasticsearch伺服器可未授權通路,其中被植入“nightlionsecurity.com”空索引的15335個。
(2)發現新的攻擊“追随者”。利用探測引擎探測發現,部分被攻擊主機除了被植入“nightlionsecurity.com”空索引以外,還出現了被植入"i_want_2_die"或者"sm1l3y_gang"等空索引的現象。該攻擊出現了新的追随者。其中"i_want_2_die"空索引173個,"sm1l3y_gang"空索引91個。
(3)揭示攻擊者銷毀ES原有資料的破壞行為特征。測繪引擎探測發現,攻擊者銷毀破壞ES原有資料後,會添加随機字元加字尾為"-meow"的索引。
(4)發現MongoDB資料庫被MeowBot攻擊。2020年7月探測發現全球2,317個MongoDB服務被meowbot攻擊。
(5)揭露攻擊意圖,1500個目标被勒索。2020年7月,探測發現攻擊者宣稱必須在7天内聯系攻擊者,否則直接公開洩露已經被攻擊者下載下傳的相關資料。
利用網絡空間測繪主動探測技術可以實作對網絡資産相關安全事件的全過程跟蹤和監測,并發現安全事件不同發展階段的重要特征,進而揭示其攻擊目标、技術手段、行為特征和意圖等。
網絡攻擊總是針對某一類網絡資産的,通過網絡資産探測等手段對所屬資産動态情況進行分析,可以有效的監測發現網絡安全威脅,同時預警和定位安全威脅資産。然後有效的進行安全處置。網絡攻防是一個動态過程,對網絡資産進行動态管理是監測和預防網絡安全威脅的基礎。
04
建構多位一體的網絡資産安全管理體系
僅僅依靠網絡資産管理不可能解決所有網路安全問題,但立足于測繪技術的網絡資産管理可以建構更為開放、主動和動态的多位一體網絡資産安全管理系統,可以與其他安全技術包括網絡流量監測技術、雲防禦技術和蜜罐主動誘捕技術等進行有機的融合,建構更有效的網絡安全防禦機制。
4.1 資産資訊是威脅情報的重要組成部分
威脅情報離不開資産資訊。一是安全防護和安全威脅的目标都是網絡資産。網絡安全漏洞總是與一定的網絡中資産相關聯,利用漏洞掃描工具和測繪技術可以實作漏洞資産的快速定位,提供精準的安全威脅情況。二是安全攻擊技術同樣離不開網絡資産,這類資産常稱為惡意資産,如APT的釣魚網站、C2伺服器、DDoS攻擊的源IP等。通過流量分析檢測識别這些惡意資産仍是目前安全防禦的重要手段。三是攻擊受害者同樣也表現為網絡資産的某種改變,如上述案例中MeowBot 攻擊中資料庫資産被篡改。識别受害資産特征也是監測網絡攻擊行為的重要技術方法。沒有資産資訊的威脅情報是不準确的。與安全威脅相關的資産資訊越精确,威脅情報的針對性和有效性也越強。現代網絡空間測繪技術可以實作對網絡資産資訊的主動探測和精确識别能力,包括IP 和域名資訊、裝置類型和廠商、軟體及版本、端口和服務元件、證書和使用者等資訊。這些資産資訊在網絡攻防實戰中占據十分重要的地位,利用測繪技術對這些資産資訊進行有效的安全管理,是掌握網絡安全主動權的重要環節。
4.2 利用資産資訊實作多種防禦技術的統一和協同
目前的安全防禦技術種類繁多。但多采用網絡流量分析檢測技術,主要利用流量旁路裝置,對網絡流量進行分析,對已知威脅和網絡異常行為構模組化型進行檢測和快速鑒别, 包括C&C通信、DDoS攻擊、SSH /FTP暴力破解、SQL注入、DNS /ARP污染、漏洞掃描和漏洞攻擊、内網平移、惡意軟體更新、隐蔽信道等網絡惡意行為;對各類網站、WebMail、OA系統、CRM系統等進行流量過濾,實作防DDoS 攻擊、防黑客CC攻擊、防後門、防資料竊取等安全防禦技術;基于流量互動實作蜜罐等主動誘捕技術等。各有所長但都具有一定的局限性。實作不同技術的威脅情報資訊的快速共享,形成協同防禦能力目前還是一大難題。
資産資訊恰恰是聯結各種防禦技術的核心技術屬性。利用測繪技術可以對各類資産進行精确的識别和标注。對内可以盤點所屬資産,監測其動态變化。對外可以主動識别和監測惡意資産的動态,發現已經受害資産的特征,進行預警。通過資産資訊可以實作多種防禦技術的協同。例如,對于新發現的APT釣魚網站資訊,可以與流量分析安全技術結合,形成有效的檢測和防禦技術。目前雲技術的應用和發展,還可以建構聚合漏洞指紋庫、網絡空間測繪資訊、全球網絡攻擊追蹤、業務系統安全輿情監測等多元度動态防禦矩陣,實作“ 一網攻擊、全網防護”的雲協同防禦能力。
4.3 測繪技術助力前置防禦能力
以上所述網絡安全防禦技術主要是基于流量分析的。流量資料在擷取能力上相對來說是被動的。在時間和空間上都具有較大局限性。時間上表現為隻能在攻擊行為進行時才可能被分析發現,事前和事後均難以奏效;在空間上,無法感覺受控流量之外的安全威脅,對這些威脅的監測預警能力相對薄弱。利用主動探測測繪技術可以較好地彌補流量分析這方面的不足。在全球範圍内,對攻擊者的攻擊行動進行全過程的跟蹤和監測,及時掌握攻擊行為的變化過程,并及時提供預警和防禦技術路線。網絡空間測繪技術具有主動性,可以根據需要對網絡空間主要網絡目标進行探測識别;同時具有實時性,通過周期性的持續探測可以實作對重點目标和事件有效監測;還具有全球性,對等于網絡攻擊的無國界特征,測繪技術同樣可以覆寫全球。這些優勢可以彌補基于流量分析安全技術的局限性,真正實作敵動我動、敵未動我先動的前置防禦能力。
05
結語
主動探測技術是網絡空間測繪的核心技術。綜合利用包括主動探測在内的資産測繪技術和資料資源建構多位一體的網絡資産管理體系,更有利于及時掌握網絡空間安全态勢的發展趨勢,在動态中形成監測、預警、溯源驗證等安全防禦能力。網絡空間測繪從根本上是服務于網絡空間安全的,網絡空間測繪技術也是在網絡安全事件的對抗中不斷發展的。近年來,網絡空間測繪領域提出并不斷推廣“動态測繪”思想,目标在于充分發揮網絡測繪平台的網絡資産測繪資料能力,在實戰對抗中不斷豐富攻擊者和攻擊行為的測繪指紋特征,進一步形成對網絡安全事件的監測預警能力,提升網絡安全前置防禦能力。
〖參考文獻〗
[1] 從MeowBot看網絡空間“動态測繪”[EB/OL].(2020-07-27)[2021-3-12].Heige(a.k.a Superhei) of KnownSec 404 Team.
[2] 賴建華,唐敏.網際網路資産情報的系統構成及其平台建構研究[J]. 情報探索, 2019, 1(07):39~45.