联系我们
发布日期:2018/05/10文章来源:盛邦安全
【引言介绍】
“要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。”从“419”讲话,到我们在实践中的探索,摸清家底、精准掌握资产分布及状态等属性,已然成为关键信息基础设施安全检查的第一步,也是很重要的一环,直接关系到整体安全建设与检查的可靠性。
那么,达到什么程度才算摸清了家底呢?在资产摸底的过程中,可能存在哪些干扰因素,我们做了如下一些研究。
【现状分析】
我们在网络出口部署Web资产安全治理平台自学习引擎,通过对镜像流量中HTTP访问数据的分析,可以自动发现网络内对外提供访问的门户网站及业务系统。对于纯提供内网业务访问的系统,可以通过在各个安全域分布探针,将基于Web访问的业务系统自动学习并归类管理。通过这样的组合方案,可以发现全部的Web资产。然而在实际应用中,我们发现了一些特殊场景,存在大量“噪音数据”,所谓噪音数据,其实是指当资产访问方式较多时,不同形式的访问对学习结果统计造成的干扰,这些噪音包括:
(1)同一个资产可通过多个域名访问;
(2)多个服务器上部署了相同的资产;
(3)同一个资产既可以通过IP也可以通过域名来访问;
(4)同一个IP在不同的端口上运行相同的Web服务;
(5)在域名解析中使用了泛域名机制(即利用通配符 *来做次级域名以实现将所有的次级域名指向同一IP地址。这种情况下,在主域名前添加任何子域名,均可访问到目标Web站点。如域名a.com之下所设的*.a.com将全部解析到同一个IP地址)。
上述几种场景本质上都有一个共性,即相同的Web资产具有多变的访问方式,而真正需要治理的是某个Web资产而不是经过变换访问方式后的重复资产。因此在实际运用当中,我们首先要做到消除噪音。万变不离其宗,以不变应万变,Web资产安全治理平台针对资产自身进行多属性多条件的组合判断,定位Web资产并自动归并它的所有访问方式,消除重复干扰,做到高效可控,目前已有三种成熟的解决方案。
【解决方案】
(1)自动合并:Web资产安全治理平台通过对学习到的资产名称、IP及响应头中的所有key、中间件、网站编码等信息组合生成标识码作为网站的唯一标记。然后和后续资产自动匹配并合并,最终将指向同一个Web资产的所有域名及IP归类为一条。
2)手动合并:在自学习资产页面可手动选择多个资产,点击“更多”操作中的合并选项,将属于同一资产的域名、IP手动归类。
3)与智能DNS系统联动:通过在智能dns系统上设定泛域名IP,只需在Web资产安全治理平台中输入泛域名网站对应的IP地址,自学习时则会将该地址对应的资产自动合并去重,并最终只保留一个待治理域名。