资产摸底系列之(2)主动探测与被动检测技术相结合,让网络安全威胁无处遁形

【现状分析】
网络空间是所有信息、系统的集合,我们身处其中,与它们相互作用、相互影响。尽管网络空间的安全问题错综复杂,但不可否认的是,安全性依然是人和信息对网络空间的基本要求。与此同时,互联网的开放性使安全生态面临更多挑战,承载着丰富功能与数据的Web应用成为黑客攻击的首要目标。所谓知己知彼、百战不殆。首先要做到“摸清家底”,这也是盛邦安全倡导的信息资产治理“五步法”的第一步。概括来讲,资产摸底的挑战主要来自以下几个方面:
全网资产分布:全球40多亿IP地址、数亿域名,如何分布?
内网资产统计:内网资产五花八门,业务系统、网络设备、打印机、摄像头、IOT等,如何分类统计?
资产指纹信息:资产的设备类型、厂家、品牌、型号、系统、软件、版本、IP地址、开放服务、开放端口及相关协议等属性,如何自动化管理?
资产威胁捕获:网络空间资产漏洞、安全态势,如何快速掌握?
资产状态跟踪:IP地址、设备、漏洞及口令等变化,如何及时感知?
 
【解决方案】
 

 
针对网络空间面临的现实问题,盛邦安全提出了面向全网资产普查的主被动探测与安全检测相结合的技术体系:针对全网资源,采用主动探测实现分析统计;针对内网资产,基于流量采集进行感知梳理,摸清网络空间资产,掌握全局安全态势。
 
针对全网资源的主动探测技术
盛邦安全网络空间探测系统(RaySpace)是由盛邦安全自主研发的基于最新RayOS操作系统的综合资产发现与管理系统。主要针对网络空间全网资源及信息进行主动探测,结合盛邦安全的漏洞检测技术和情报分析能力,实现集资产普查、风险探测、风险管理于一体的空间探测系统。同时,RaySpace融入了资产梳理与核查机制,可实现对网络空间资产的全方位、多角度管理。
该系统针可实现对全网数亿IP地址进行探测扫描,并对探测到的每个IP地址的存活状态信息、设备指纹信息、服务端口信息、应用指纹信息提供多维度展示与检索。



针对内网资产、基于流量采集的被动检测技术
盛邦安全Web应用综合治理系统(RayGate)是基于流量被动监测、以符合四部委联合发布的《党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》(简称2562号文件)要求为出发点,结合国家网络安全法中对于网络安全管理、监测预警、应急处置等方面的要求而自主研发的综合治理平台系统。通过在网络出口旁路部署自学习引擎和对镜像流量的分析,自动发现网络内对外提供访问的网站,及业务系统对于内网业务系统的发现;并通过在各安全域部署探针,摸清网络内开放的各种服务端口的指纹信息。
通过镜像流量到Web资产安全治理平台,可学习所有由内到外提供服务的HTTP和HTTPS的域名以及网站名称,也支持对流量进行webshell被动学习,发现内网被控制的主机并配合防护设备限制所有从内网到外网的web服务。



针对非web服务,RayGate采取基于镜像流量分析的方式,快速获取数据并和内置服务端口指纹库做精准匹配,梳理出真实开放的服务信息。



相关阅读
资产摸底系列之(1)噪音数据对资产摸底结果影响及其应对方法 http://www.webray.com.cn/news/539.html