运营商行业网络空间资产测绘解决方案
方案简介
由盛邦安全自主研发的一款集资产普查、风险探测、风险管理于一体的综合资产探测与详情展示系统,结合漏洞发现检测技术和数据情报分析技术,可以实现对网络空间的IPv4、IPv6及域名资产存活状态快速探测,具备针对全网各类资产精准发现、精准识别、精准威胁的检测能力。
方案背景
随着5G、IPv6、云计算等技术的发展,智能设备、IoT设备等各类网络资产丰富着网络空间世界,各类业务不断增加,网络资产数量呈指数增长,使得运营商网络资产数据变得更加复杂、多样、易变。攻防双方时刻围绕着网络空间攻击面展开全面的较量,在遭受攻击之前便构建资产普查、风险探测、风险管理等技术体系,实现数字化管理,利用网络空间资产探测搭建网络安全体系的底层支撑已经逐渐成为业界的共识。
解决方案
盛邦安全以高性能的检测引擎(资产探测引擎、指纹检测引擎、PoC检测引擎)为基础,全面丰富的资源库(资产指纹库、漏洞库、PoC规则库)为支撑,实现对网络空间资产的识别发现与安全排查,从而达到掌握网络空间资产安全风险感知、增强资产安全治理水平、降低资产安全维护管理成本的目的。开展网络空间资产探测的关键能力建设,以网络资产发现、网络协议分析、系统与服务识别、漏洞检测与验证、大数据分析和可视化统为技术核心,围绕轻量级高速存活探测,实现低带宽条件下的高速发包;基于熵的IPv6地址存活预测算法,实现多种IPv6预测算;具备对互联网IPv4/IPv6地址空间进行快速存活性普查和对DNS域名服务器的探测识别能力;围绕深度协议栈分析与指纹探测,实现对指定范围IPv4/IPv6地址的节点属性精确识别能力;围绕资产可利用漏洞深度检测,针对漏洞的准确性进行验证,规避安全监测系统的告警触发;围绕可视化打击,以挂图作战模式,通过在地图上框选进行资产查询,框选某一区域后可针对该区域现有资产进行资产数据分析、漏洞展示、目标选择、关键基础设施行业分析。
通过探测、采集、处理、分析等手段获得网络空间虚拟与实体资源在网络空间和地理空间的属性,并将网络空间数据映射至地理空间,以资产导航地图或其他可视化形式表达网络空间资源的属性、脆弱性、坐标、拓扑等信息。从而帮助运营商用户掌握网络空间资产组成,消除网络安全工作中的盲点,发现网络安全防护的薄弱之处,构建运营商用户面向互联网的网络空间测绘体系。
方案优势
【高精度指纹识别】
当前互联网目标系统海量多变,盛邦采用自主研发的深度探测引擎指纹识别技术和指纹信息匹配技术,基于节点探测发现的资产通过指纹探测引擎构造探测数据包,采用插件方式对主要协议和重点设备进行深度识别,获取OS、服务等信息。指纹信息匹配技术,向目标资产发送探测请求,获取到banner、html等,通过指纹库匹配,采用多模匹配等算法减少指纹匹配的运算量,快速识别资产的Web、系统等指纹信息。
【高性能探测速度】
依靠TCP SYN Scan高性能端口扫描技术和DPDK高性能数据包处理技术,可以做到单项探测任务发布时延不超过一秒,两小时内即可完成对全球IPv4地址空间的单端口开放普查,24小时内可完成全网存活探测,一个C段全端口存活探测不超过30分钟。探测过程轻量无感,隐藏探测行为能够规避当前主流的安防设备,节约管理运维的时间成本。
【资产结果快速检索】
在对扫描后得到的海量数据的存储和检测方面,以Elasticsearch检索平台为基础,具有分布式部署、高可靠、稳定等优点,非常适宜作为企业本地的数据存储和检索平台,并进行定制化修改,配套大量的检索和分析团队以对数据做到高效分析。默认使用的内存索引方式可以保证系统对近期录入的数据做到近乎实时的查询,而对于存储于硬盘的TB级数据也可做到秒级查询。提高资源查询效率,提供友好流畅的使用体验。
【多级分布式部署场景】
运营商用户在面临多节点分支机构的情况时,支持在整个体系设计中进行探测节点调度,为了保证节点调度的高效,调度引擎具备双冗余机制,一旦节点调度引擎异常,备份调度引擎必须能回复并且接管在节点上执行的任务,能识别出现异常的任务并进行执行探测节点调整。如果执行端点(worker)出现异常,调度引擎要把任务分发其他端点继续执行。