運營商網(wǎng)絡資產(chǎn)安全管控技術(shù)與方案探討

1 引言

隨著互聯(lián)網(wǎng)的快速發(fā)展，電信運營商的業(yè)務發(fā)生了重大變革，網(wǎng)絡資產(chǎn)數(shù)量日益龐大,種類繁多,管控復雜。在網(wǎng)絡資產(chǎn)發(fā)現(xiàn)方面，單純依賴IP地址及端口標識已難以滿足網(wǎng)絡資產(chǎn)發(fā)現(xiàn)的準確性和全面性的需求，內(nèi)網(wǎng)中存在大量難以定位和獲知信息的隱形網(wǎng)絡資產(chǎn)，這些資產(chǎn)存在的漏洞往往無法發(fā)現(xiàn)，從而給企業(yè)內(nèi)網(wǎng)帶來不可預測的風險；在資產(chǎn)風險管控方面，Web資產(chǎn)安全檢測通常調(diào)用通用第三方掃描器，檢測時間長、成本高，對單個或少量Web網(wǎng)站尚可檢測，但針對大批量站點則難以快速排查定位安全風險，且對企業(yè)存量、增量漏洞難以管控。

2 網(wǎng)絡資產(chǎn)安全管控技術(shù)

對網(wǎng)絡資產(chǎn)進行全面發(fā)現(xiàn)建立完善的指紋信息庫，結(jié)合威脅情報掌握全網(wǎng)網(wǎng)絡資產(chǎn)的漏洞、風險情況，進而實現(xiàn)批量的風險監(jiān)測與處置，能夠提高網(wǎng)絡資產(chǎn)安全管控效率，推進運營商網(wǎng)絡資產(chǎn)管控工作的逐漸深入。

2.1 網(wǎng)絡資產(chǎn)發(fā)現(xiàn)技術(shù)

網(wǎng)絡資產(chǎn)及其屬性發(fā)現(xiàn)與補全是網(wǎng)絡資產(chǎn)安全管控的重要基礎(chǔ),遠程掃描是目前網(wǎng)絡資產(chǎn)發(fā)現(xiàn)的主要手段，其過程是通過發(fā)現(xiàn)目標主機或網(wǎng)絡，進行存活性判斷排除未存活的網(wǎng)絡資產(chǎn)，對存活目標主機運行的操作系統(tǒng)版本進行探測，掃描目標系統(tǒng)的TCP/IP端口，查看該系統(tǒng)處于監(jiān)聽或運行狀態(tài)的服務等，建立IP+端口形式的網(wǎng)絡資產(chǎn)列表。同時，為達到繞過防火墻和入侵檢測設備的目的，遠程掃描工具往往采用一些規(guī)避技術(shù)，常用規(guī)避技術(shù)包括異常的IP包頭、在IP頭設置無效的字段值、通過超長包探測內(nèi)部路由器、反向映射探測等。

2.2 網(wǎng)絡資產(chǎn)脆弱性發(fā)現(xiàn)技術(shù)

網(wǎng)絡資產(chǎn)脆弱性發(fā)現(xiàn)包含2個方面，一是基于掃描產(chǎn)品發(fā)現(xiàn)網(wǎng)絡資產(chǎn)脆弱性，二是借助威脅情報等第3方情報被動發(fā)現(xiàn)網(wǎng)絡資產(chǎn)脆弱性。

主動脆弱性掃描按照掃描目標可以分為基于主機的掃描、基于網(wǎng)絡的掃描、基于應用的掃描、基于安全審計的掃描。① 基于主機的掃描通過對系統(tǒng)中不恰當?shù)南到y(tǒng)設置、弱口令等涉及操作系統(tǒng)內(nèi)核、文件屬性、操作系統(tǒng)補丁等方面的檢測準確定位和發(fā)現(xiàn)操作系統(tǒng)脆弱性，其不足是依賴于系統(tǒng)版本，升級較復雜；② 基于網(wǎng)絡的掃描是通過執(zhí)行腳本文件對網(wǎng)絡系統(tǒng)進行非破壞性的攻擊，根據(jù)反應確定是否存在安全隱患，其不足在于無法解決網(wǎng)絡檢查的先天缺陷，比如傳統(tǒng)掃描無法穿越防火墻，無法解決拔掉網(wǎng)線、不開機等狀況對掃描的影響；③ 基于應用的掃描檢測應用軟件包的相關(guān)安全設置，其不足是側(cè)重于對應用設置是否合理的檢測，對規(guī)則制定的客觀性要求高；④ 基于安全審計的掃描是周期性的使用散列算法對系統(tǒng)特征信息如文件的屬性、注冊號等進行計算，通過特征的一致性檢測實現(xiàn)系統(tǒng)安全的檢測，其不足在于脆弱性發(fā)現(xiàn)的準確和全面性依賴于系統(tǒng)本身基線的配置，對自定義規(guī)則設置的要求高。

被動發(fā)現(xiàn)網(wǎng)絡資產(chǎn)脆弱性的主要方法是通過公開或者第三方漏洞采集與資產(chǎn)關(guān)聯(lián)。具體地，是通過爬蟲的方式，定期采集公網(wǎng)漏洞信息，包括：CVE 漏洞信息、CNVD漏洞信息、Bugtraq漏洞信息、360漏洞信息以及其他自定義互聯(lián)網(wǎng)漏洞信息平臺，通過關(guān)聯(lián)所轄資產(chǎn)，根據(jù)相應的系統(tǒng)、數(shù)據(jù)庫、中間件等版本信息，生成相應網(wǎng)絡資產(chǎn)的漏洞告警信息。

3 電信運營商大規(guī)模網(wǎng)絡資產(chǎn)安全管控方案

3.1 電信運營商網(wǎng)絡資產(chǎn)管控現(xiàn)狀及需求分析

（1）電信運營商網(wǎng)絡資產(chǎn)管控現(xiàn)狀

運營商資產(chǎn)逐漸云化，現(xiàn)網(wǎng)系統(tǒng)大多以“平臺+應用”的形式呈現(xiàn)，包含各種形態(tài)及不同類型的主機、操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡設備、應用軟件，具體如圖1所示。

圖1 運營商IT系統(tǒng)資產(chǎn)架構(gòu)

目前電信運營商主要通過SOC基礎(chǔ)平臺的資產(chǎn)安全管控模塊來實現(xiàn)網(wǎng)絡資產(chǎn)安全管控，其管控的對象是現(xiàn)網(wǎng)具有IP地址可訪問的設備及開放的端口、服務、服務器上安裝的操作系統(tǒng)、中間件應用系統(tǒng)的版本信息。但現(xiàn)有手段存在嚴重不足：一方面，目前網(wǎng)絡資產(chǎn)主要是手工錄入方式，缺乏網(wǎng)絡資產(chǎn)自動發(fā)現(xiàn)手段，而且現(xiàn)有網(wǎng)絡資產(chǎn)管控主要為傳統(tǒng)意義上的固定網(wǎng)絡資產(chǎn)管控(如圖2所示)，對網(wǎng)絡資產(chǎn)的安全屬性記錄不全面、更新不及時、責任不明確。另一方面，工信部對資產(chǎn)安全管控提出動態(tài)掌握企業(yè)設備資產(chǎn)信息，并實現(xiàn)網(wǎng)絡資產(chǎn)與安全風險關(guān)聯(lián)管控的要求，目前運營商缺乏有效的網(wǎng)絡資產(chǎn)安全管控支撐系統(tǒng)，面臨監(jiān)管挑戰(zhàn)。

圖2 某單位IT線條網(wǎng)絡資產(chǎn)管控現(xiàn)狀

3.2 電信運營商網(wǎng)絡資產(chǎn)安全管控方案

通過對網(wǎng)絡資產(chǎn)管控技術(shù)的研究以及運營商網(wǎng)絡資產(chǎn)管控現(xiàn)狀及需求分析，為實現(xiàn)“摸清家底，認清風險，找出漏洞，督促整改”的要求，同時確保合規(guī)達到主管監(jiān)管要求，運營商應以省為單位建設網(wǎng)絡資產(chǎn)安全管控系統(tǒng)，本文提出了包括管控及展現(xiàn)層、存儲層、聚合層、采集層的資產(chǎn)安全管控系統(tǒng)架構(gòu)，如圖3所示。

圖3 網(wǎng)絡資產(chǎn)安全管控系統(tǒng)架構(gòu)

電信運營商網(wǎng)絡資產(chǎn)安全管控系統(tǒng)在采集層應該以主動發(fā)現(xiàn)、被動發(fā)現(xiàn)等自動發(fā)現(xiàn)技術(shù)為基礎(chǔ)，人工填報為輔助全面發(fā)現(xiàn)網(wǎng)絡資產(chǎn)。

聚合層實現(xiàn)網(wǎng)絡資產(chǎn)識別分析、指紋識別以及風險資產(chǎn)關(guān)聯(lián)驗證，存儲層構(gòu)建完善的網(wǎng)絡資產(chǎn)庫、資產(chǎn)指紋庫及規(guī)則/索引/用戶信息庫。

管控/展示層完成資產(chǎn)信息、告警的呈現(xiàn)，通過規(guī)則、索引配置等完成批量的網(wǎng)絡資產(chǎn)安全風險管控。

其中，該方案的重點在于① 網(wǎng)絡資產(chǎn)發(fā)現(xiàn)：基于IAAS層、PAAS層和SAAS層的網(wǎng)絡資產(chǎn)發(fā)現(xiàn)，發(fā)現(xiàn)的技術(shù)手段包含不限于IP/端口掃描、協(xié)議識別、Agent代理、遠程登陸、日志分析、流量分析、調(diào)用鏈埋點等，提升網(wǎng)絡資產(chǎn)的發(fā)現(xiàn)速度和發(fā)現(xiàn)準確率，網(wǎng)絡資產(chǎn)發(fā)現(xiàn)框架如圖4所示。② 大規(guī)模網(wǎng)絡資產(chǎn)安全管控：以IP為根鍵，建立網(wǎng)絡資產(chǎn)應用層、主機層和數(shù)據(jù)庫指紋庫，根據(jù)網(wǎng)絡資產(chǎn)指紋生成網(wǎng)絡資產(chǎn)安全策略，快速高效針對網(wǎng)絡資產(chǎn)進行批量管控，提升網(wǎng)絡資產(chǎn)安全管控效率。網(wǎng)絡資產(chǎn)發(fā)現(xiàn)與風險管控流程框架如圖5所示。

圖4 運營商網(wǎng)絡資產(chǎn)全面發(fā)現(xiàn)框架

圖5 網(wǎng)絡資產(chǎn)發(fā)現(xiàn)與風險管控實現(xiàn)框架

IAAS層網(wǎng)絡資產(chǎn)發(fā)現(xiàn)方式：一方面，通過周期性/任務式的黑盒模式檢測進行網(wǎng)絡資產(chǎn)發(fā)現(xiàn)，利用掃描器發(fā)送探測報文到目標網(wǎng)絡資產(chǎn)，根據(jù)目標網(wǎng)絡資產(chǎn)回應的報文進行分析，與指紋庫對比識別，可獲取網(wǎng)絡資產(chǎn)的開放端口、服務、操作系統(tǒng)類型、版本、存活狀態(tài)等部分屬性信息，形成基于“IP+端口”的IAAS層網(wǎng)絡資產(chǎn)列表。其中，在掃描期間，對掃描探測任務（IP列表、端口探測等）應進行合理拆分、打亂順序掃描或設定不確定的間隔進行掃描，避免被設備的安全防御機制所阻斷。另一方面，對出口防火墻NAT映射表、防火墻會話日志、Web應用防火墻HTTP請求的host屬性等進行探測，發(fā)現(xiàn)后端服務器資源地址，通過服務器返回的HTTP響應信息，識別資產(chǎn)的服務類型，輔助發(fā)現(xiàn)已知網(wǎng)絡中的未發(fā)現(xiàn)網(wǎng)絡資產(chǎn)。此外，輔助利用遠程賬號登錄和安裝代理的方式作為白盒網(wǎng)絡資產(chǎn)發(fā)現(xiàn)的技術(shù)手段，提升網(wǎng)絡資產(chǎn)發(fā)現(xiàn)的全面性。其中，遠程賬號登陸包括接入4A或者堡壘機以及采用SSH、TELNET、RDP協(xié)議遠程登陸網(wǎng)絡資產(chǎn)設備，可采集主機、網(wǎng)絡設備、安全設備、虛擬機以及應用系統(tǒng)等網(wǎng)絡資產(chǎn)的屬性；安裝代理的方式可實現(xiàn)主機端口、設施廠商、設施型號、啟動項配置、進程列表、防病毒屬性、操作系統(tǒng)配置、賬號口令策略、操作系統(tǒng)類型/版本、補丁屬性、日志屬性、遠程登錄方式、配置變更、接口狀態(tài)、流量信息、數(shù)據(jù)庫類型、中間件類型、應用版本等屬性采集?；谏鲜霭l(fā)現(xiàn)的資產(chǎn)屬性可建立主機指紋庫，主機指紋庫的信息包括IP地址、端口服務/狀態(tài)、版本信息、進程信息、宕機信息、路由節(jié)點等。

PAAS和SAAS層網(wǎng)絡資產(chǎn)發(fā)現(xiàn)方式：① 通過Zabbix統(tǒng)一采集及監(jiān)控北向接口上報信息實現(xiàn)分布式組件發(fā)現(xiàn)；② 采用流量數(shù)據(jù)分析、調(diào)用鏈采集進行SAAS層網(wǎng)絡資產(chǎn)發(fā)現(xiàn)，并結(jié)合搜索引擎、DNS數(shù)據(jù)聚合、證書透明度等方式輔助，形成細粒度的SAAS網(wǎng)絡資產(chǎn)列表，提高網(wǎng)絡資產(chǎn)管控的全面性與準確性。其中，在SAAS層網(wǎng)絡資產(chǎn)子域名發(fā)現(xiàn)時，除了流量分析手段之外，一方面，借助固定文本字典，并根據(jù)固定文本字典中的可變字典生成動態(tài)新字典枚舉爆破，并輔助響應內(nèi)容解決泛解析域名，排除不存在子域名，獲取有效子域名，提高網(wǎng)絡資產(chǎn)發(fā)現(xiàn)準確性；另一方面，通過搜索引擎、DNS數(shù)據(jù)聚合、證書透明度等方式輔助獲取子域名，提高網(wǎng)絡資產(chǎn)發(fā)現(xiàn)全面性。

進一步地，基于網(wǎng)絡資產(chǎn)全面發(fā)現(xiàn)，形成能標識Web網(wǎng)絡資產(chǎn)對象類型的特征庫，包括但不限于Web應用使用的框架、語言、組件、應用服務器、數(shù)據(jù)庫、CMS套件、插件等的應用層指紋庫；形成能標識服務器的操作系統(tǒng)、操作系統(tǒng)補丁、主機服務的特征庫、主機層指紋庫；形成能標識數(shù)據(jù)庫軟件名稱及版本的特征庫的數(shù)據(jù)庫層指紋，結(jié)合主動脆弱性發(fā)現(xiàn)手段及公開或第三方漏洞情報庫與指紋庫比對，并同時利用威脅情報，匹配到批量網(wǎng)絡資產(chǎn)的安全預警，實現(xiàn)資產(chǎn)漏洞快速發(fā)現(xiàn)、定位及驗證。

4 結(jié)束語

運營商的網(wǎng)絡資產(chǎn)安全管控應該具有結(jié)合主動/被動方式的網(wǎng)絡資產(chǎn)發(fā)現(xiàn)、針對性的風險管控能力，在安全運營和風險處置工作中快速定位，建立閉環(huán)的風險管控流程，實現(xiàn)半自動化甚至是自動化的網(wǎng)絡資產(chǎn)安全管控。在此基礎(chǔ)上，應在掌握全面、準確、及時的網(wǎng)絡資產(chǎn)數(shù)據(jù)的基礎(chǔ)上進行持續(xù)性網(wǎng)絡資產(chǎn)變更監(jiān)測、網(wǎng)絡資產(chǎn)關(guān)聯(lián)梳理，將運營商網(wǎng)絡資產(chǎn)安全管控工作繼續(xù)深入推進。