一種基于風(fēng)險(xiǎn)探知技術(shù)的安全解決方案

文｜張軍

一種基于風(fēng)險(xiǎn)探知技術(shù)的安全解決方案

文｜張軍

隨著信息化技術(shù)在政府、企業(yè)等組織日常經(jīng)營(yíng)活動(dòng)的不斷深入，越來越多的組織通過基于聯(lián)網(wǎng)的信息系統(tǒng)為組織自身和客戶提供服務(wù)。這些基于聯(lián)網(wǎng)的信息系統(tǒng)為組織和客戶帶來便利的同時(shí)也成為了攻擊的目標(biāo)，基于互聯(lián)網(wǎng)的信息系統(tǒng)一旦被惡意者攻陷并加以利用將會(huì)給組織和客戶帶來業(yè)務(wù)收入損失、形象品牌損失、數(shù)據(jù)與財(cái)產(chǎn)損失、秘密及隱私泄露等各種各樣的不利影響，更甚者有可能上升影響到國(guó)家安全。

深入分析導(dǎo)致基于聯(lián)網(wǎng)的信息系統(tǒng)風(fēng)險(xiǎn)嚴(yán)峻的原因，可以發(fā)現(xiàn)雖然各個(gè)組織都在不斷的完善自身的安全防御體系以此來抵制各種可能發(fā)生的威脅事件，但僅憑安全防御體系被動(dòng)防御還不足以保障信息系統(tǒng)的安全，還需要不斷完善主動(dòng)化的風(fēng)險(xiǎn)探知體系，以此來發(fā)現(xiàn)防御體系存在的風(fēng)險(xiǎn)并對(duì)其進(jìn)行修補(bǔ)，只有這樣才能提高組織的整體安全。

一、需求背景

隨著網(wǎng)絡(luò)信息化建設(shè)不斷完善，基礎(chǔ)設(shè)備、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備不斷增多，網(wǎng)絡(luò)越來越復(fù)雜，各類數(shù)據(jù)信息的獲取通常處于被狀態(tài)，不具備完善的網(wǎng)絡(luò)基礎(chǔ)信息庫(kù)，無法自動(dòng)化智能化的統(tǒng)計(jì)出網(wǎng)內(nèi)設(shè)備與應(yīng)用的數(shù)量，無法有效識(shí)別網(wǎng)內(nèi)設(shè)備和應(yīng)用的上架情況。伴隨著業(yè)務(wù)的不斷變化，需求的不斷變化，網(wǎng)絡(luò)的不斷變化，每個(gè)階段網(wǎng)內(nèi)設(shè)備與應(yīng)用的狀態(tài)依據(jù)業(yè)務(wù)及需求不斷發(fā)生改變，新增了哪些設(shè)備，新開了什么端口，設(shè)備及應(yīng)用均處于什么樣的運(yùn)行狀態(tài)。面對(duì)這種現(xiàn)狀，需要采用多樣化信息采集方式，主動(dòng)全面獲取網(wǎng)內(nèi)各類信息，構(gòu)建全網(wǎng)網(wǎng)絡(luò)基礎(chǔ)信息庫(kù)；統(tǒng)計(jì)各類設(shè)備與應(yīng)用，識(shí)別應(yīng)用的基本信息。在基礎(chǔ)信息庫(kù)的基礎(chǔ)上，不斷實(shí)時(shí)更新覆蓋全網(wǎng)網(wǎng)絡(luò)基礎(chǔ)信息庫(kù)。

二、風(fēng)險(xiǎn)探知技術(shù)平臺(tái)關(guān)鍵技術(shù)

（一）基礎(chǔ)信息主動(dòng)探測(cè)技術(shù)

風(fēng)險(xiǎn)探知技術(shù)平臺(tái)融合多種探測(cè)技術(shù)，通過采集引擎可主動(dòng)收集安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)/服務(wù)器以及工控設(shè)備的信息，并可向目標(biāo)發(fā)送探測(cè)數(shù)據(jù)包，發(fā)現(xiàn)目標(biāo)存活性，接收目標(biāo)反饋的數(shù)據(jù)包，并將反饋信息提交給后臺(tái)進(jìn)行分析。通過指紋庫(kù)的比對(duì)，設(shè)備信息采集可實(shí)現(xiàn)探測(cè)目標(biāo)類型及型號(hào)、操作系統(tǒng)類型和版本號(hào)、所承載服務(wù)及軟硬件版本等信息收集和判斷，可發(fā)現(xiàn)探測(cè)目標(biāo)的脆弱性信息。整個(gè)過程大體可分為端口掃描、協(xié)議識(shí)別、服務(wù)、應(yīng)用、操作系統(tǒng)信息獲取和脆弱性收集四個(gè)部分。

（二）超文本標(biāo)記抽取技術(shù)

充分利用市場(chǎng)上輿情產(chǎn)品的技術(shù)積累，實(shí)現(xiàn)對(duì)超文本的積累。通過端口、http包頭、banner信息、指紋信息等實(shí)現(xiàn)超文本標(biāo)記抽取。如：通過開放的端口及服務(wù)來識(shí)別網(wǎng)絡(luò)設(shè)備或應(yīng)用服務(wù)器；通過提取WEB指紋來判斷設(shè)備廠商或設(shè)備類型；通過WEB指紋識(shí)別技術(shù)可以獲取應(yīng)用服務(wù)組件。

（三）構(gòu)建漏洞驗(yàn)證功能，實(shí)現(xiàn)漏洞驗(yàn)證自動(dòng)化支撐

風(fēng)險(xiǎn)探知技術(shù)平臺(tái)具備漏洞驗(yàn)證功能，可以對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)上發(fā)現(xiàn)的漏洞進(jìn)行驗(yàn)證并發(fā)起攻擊。快速漏洞驗(yàn)證能夠與網(wǎng)絡(luò)節(jié)點(diǎn)詳細(xì)信息展示相關(guān)聯(lián)，查看網(wǎng)絡(luò)節(jié)點(diǎn)詳細(xì)信息中的漏洞后調(diào)出快速漏洞驗(yàn)證功能，用戶配置漏洞驗(yàn)證相關(guān)參數(shù)后就能快速進(jìn)行漏洞驗(yàn)證，快速漏洞驗(yàn)證參數(shù)設(shè)置包括但不限于漏洞驗(yàn)證、攻擊的插件選擇、目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)IP地址、目標(biāo)端口、有效載荷代碼選擇等。

（四）基于高性能存儲(chǔ)和檢索技術(shù)

風(fēng)險(xiǎn)探知技術(shù)平臺(tái)統(tǒng)融合了多種探測(cè)引擎，對(duì)目標(biāo)網(wǎng)絡(luò)采集基礎(chǔ)信息，包括：端口、服務(wù)、操作系統(tǒng)、web應(yīng)用漏洞、系統(tǒng)漏洞、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)信息節(jié)點(diǎn)、網(wǎng)絡(luò)安全設(shè)備等，數(shù)據(jù)存儲(chǔ)容量大，采用現(xiàn)有的關(guān)系數(shù)據(jù)庫(kù)無法滿足。其次，采集的數(shù)據(jù)有基于結(jié)構(gòu)化的數(shù)據(jù)，也有非結(jié)構(gòu)化數(shù)據(jù)和半結(jié)構(gòu)化的數(shù)據(jù)，現(xiàn)有關(guān)系數(shù)據(jù)不支持非結(jié)構(gòu)化數(shù)據(jù)和半結(jié)構(gòu)化數(shù)據(jù)。再次，要求風(fēng)險(xiǎn)探知技術(shù)平臺(tái)支持實(shí)時(shí)化的數(shù)據(jù)搜索。對(duì)于存儲(chǔ)和查詢、分析的數(shù)據(jù)達(dá)到上百個(gè)TB時(shí)，常規(guī)系統(tǒng)是無法支持這種大數(shù)據(jù)的存儲(chǔ)和實(shí)時(shí)查詢功能。

為了解決支持?jǐn)?shù)據(jù)存儲(chǔ)、查詢、分析的數(shù)據(jù)達(dá)到上百個(gè)TB時(shí)，風(fēng)險(xiǎn)探知技術(shù)平臺(tái)采用存儲(chǔ)容量支持PB級(jí)別的分布式數(shù)據(jù)庫(kù)MongoDB作為風(fēng)險(xiǎn)探知技術(shù)平臺(tái)的存儲(chǔ)數(shù)據(jù)庫(kù)；同時(shí)MongoDB數(shù)據(jù)庫(kù)支持結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，滿足風(fēng)險(xiǎn)探知技術(shù)平臺(tái)的數(shù)據(jù)存儲(chǔ)要求。采用分布式多用戶的搜索引擎Elasticsearch實(shí)現(xiàn)風(fēng)險(xiǎn)探知技術(shù)平臺(tái)實(shí)時(shí)查詢和分析功能。MongoDB分布式數(shù)據(jù)庫(kù)和Elasticearch分布式搜索引擎都支持PB級(jí)別的存儲(chǔ)容量。

三、風(fēng)險(xiǎn)探知技術(shù)平臺(tái)設(shè)計(jì)

（一）功能架構(gòu)

圖1 風(fēng)險(xiǎn)探知平臺(tái)功能架構(gòu)

風(fēng)險(xiǎn)探知技術(shù)平臺(tái)從功能上劃分主要由五個(gè)層次組成，被管理對(duì)象層、信息采集層、信息匯聚層、核心業(yè)務(wù)層、應(yīng)用與展示層。

平臺(tái)與外部資源和系統(tǒng)進(jìn)行接口交互，最終實(shí)現(xiàn)對(duì)中心網(wǎng)絡(luò)安全防護(hù)、網(wǎng)絡(luò)攻防、網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估業(yè)務(wù)的支撐。

被管理對(duì)象層包括各政務(wù)網(wǎng)站主要組成部分，包括各類主機(jī)/服務(wù)器、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、工控設(shè)備、WEB應(yīng)用、中間件、數(shù)據(jù)庫(kù)、郵件系統(tǒng)和DNS系統(tǒng)等，通過在網(wǎng)絡(luò)上對(duì)這些對(duì)象信息的主動(dòng)探測(cè)與收集，形成相關(guān)業(yè)務(wù)支撐的基礎(chǔ)數(shù)據(jù)。

信息采集層包括分布式部署的各個(gè)主動(dòng)探測(cè)節(jié)點(diǎn)，這些節(jié)點(diǎn)主要包括信息采集、Web信息采集、郵件系統(tǒng)信息采集、DNS系統(tǒng)信息采集以及漏洞驗(yàn)證與利用的功能，實(shí)現(xiàn)信息主動(dòng)探測(cè)的執(zhí)行層。

信息匯聚層將信息采集層獲取的信息進(jìn)行數(shù)據(jù)的抽取、轉(zhuǎn)換和加載后，通過分類信息的識(shí)別，分別將原始信息和分類信息存儲(chǔ)在原始信息庫(kù)和匯總信息庫(kù)中，同時(shí)提供輔助信息庫(kù)，負(fù)責(zé)指紋庫(kù)、IP數(shù)據(jù)庫(kù)、漏洞特征庫(kù)和協(xié)議分析庫(kù)的管理。

核心業(yè)務(wù)層包括信息采集管理子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)能夠、網(wǎng)絡(luò)攻防應(yīng)用子系統(tǒng)和分布式管理子系統(tǒng)。其中采集管理子系統(tǒng)負(fù)責(zé)對(duì)信息采集對(duì)象、規(guī)則和任務(wù)的統(tǒng)一管理；數(shù)據(jù)分析子系統(tǒng)負(fù)責(zé)信息識(shí)別分析、綜合數(shù)據(jù)分析、漏洞分析、安全態(tài)勢(shì)分析和重點(diǎn)用戶分析；網(wǎng)絡(luò)攻防應(yīng)用子系統(tǒng)負(fù)責(zé)漏洞的驗(yàn)證與利用、漏洞聯(lián)動(dòng)攻擊以及匯總點(diǎn)目標(biāo)的探查；分布式管理子系統(tǒng)負(fù)責(zé)分布式存儲(chǔ)管理、分布式節(jié)點(diǎn)管理、分布式任務(wù)管理和系統(tǒng)管理。

應(yīng)用與展示層為用戶提供人機(jī)交互界面，實(shí)現(xiàn)網(wǎng)絡(luò)空間地圖的繪制與展示、樓頂驗(yàn)證與利用、漏洞分布與安全態(tài)勢(shì)感知以及重點(diǎn)用戶分析的功能。

（二）網(wǎng)絡(luò)部署環(huán)境

圖2 風(fēng)險(xiǎn)探知技術(shù)平臺(tái)網(wǎng)絡(luò)部署示意圖

如圖2所示，風(fēng)險(xiǎn)探知技術(shù)平臺(tái)由總中心和分中心兩部分構(gòu)成；其中總中心包括：

數(shù)據(jù)庫(kù)服務(wù)器：實(shí)現(xiàn)大數(shù)據(jù)的存儲(chǔ)，滿足風(fēng)險(xiǎn)探知技術(shù)平臺(tái)的基礎(chǔ)信息采集；

數(shù)據(jù)匯聚服務(wù)器：實(shí)現(xiàn)對(duì)分中心主動(dòng)探測(cè)節(jié)點(diǎn)服務(wù)器上傳數(shù)據(jù)的匯總和轉(zhuǎn)化；

分布式存儲(chǔ)計(jì)算服務(wù)器：實(shí)現(xiàn)對(duì)大數(shù)據(jù)的存儲(chǔ)和計(jì)算分析。

管理服務(wù)器：對(duì)風(fēng)險(xiǎn)探知系統(tǒng)的管理和風(fēng)險(xiǎn)可視化展示。

分中心主要由一組主動(dòng)探測(cè)節(jié)點(diǎn)服務(wù)器構(gòu)成，主動(dòng)對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行基礎(chǔ)信息的采集。

四、技術(shù)特點(diǎn)

（一）主動(dòng)探測(cè)

1. 多樣化探測(cè)手段

風(fēng)險(xiǎn)探知技術(shù)平臺(tái)在探測(cè)技術(shù)方面將融合多種探測(cè)技術(shù)，主要包括以下幾個(gè)方面：

支持針對(duì)web漏洞掃描技術(shù)；

支持系統(tǒng)漏洞掃描技術(shù)；

支持針對(duì)操作系統(tǒng)的探測(cè)技術(shù)；

針對(duì)端口的探測(cè)技術(shù)；

服務(wù)探測(cè)技術(shù)；

Web爬蟲技術(shù)；

漏洞驗(yàn)證與利用技術(shù)；

2. 分布式探測(cè)技術(shù)

風(fēng)險(xiǎn)探知技術(shù)平臺(tái)支持分布式探測(cè)節(jié)點(diǎn)部署，通過分布式節(jié)點(diǎn)管理實(shí)現(xiàn)了對(duì)不同目標(biāo)網(wǎng)絡(luò)的主動(dòng)探測(cè)。

3. 多類型探測(cè)引擎

風(fēng)險(xiǎn)探知技術(shù)平臺(tái)采用基于消息總線和WebService等通用擴(kuò)展技術(shù)。通過消息總線可以實(shí)現(xiàn)對(duì)內(nèi)部分布式探針的管理和擴(kuò)展，可以很好的支持自身的分布式探針，也可以支持第三方的分布式探針。

（二）信息識(shí)別

平臺(tái)依托內(nèi)置的IP地址信息庫(kù)、指紋庫(kù)、特征庫(kù)，可以有效的識(shí)別設(shè)備的地理位置、基礎(chǔ)信息、工控信息、DNS信息、WEB應(yīng)用信息。

（三）網(wǎng)絡(luò)空間地圖

平臺(tái)能夠提供多維搜索和關(guān)聯(lián)搜索兩種搜索技術(shù)，快速定位符合搜索條件的目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)。

（四）漏洞利用驗(yàn)證

平臺(tái)通過快速漏洞驗(yàn)證提供針對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)上發(fā)現(xiàn)的漏洞進(jìn)行驗(yàn)證或發(fā)起攻擊的能力。快速漏洞驗(yàn)證能夠與網(wǎng)絡(luò)節(jié)點(diǎn)詳細(xì)信息展示相關(guān)聯(lián)，查看網(wǎng)絡(luò)節(jié)點(diǎn)詳細(xì)信息中的漏洞后調(diào)出漏洞驗(yàn)證功能，用戶配置漏洞驗(yàn)證相關(guān)參數(shù)后就能快速進(jìn)行漏洞驗(yàn)證或利用。

（五）安全態(tài)勢(shì)分析

平臺(tái)通過信息識(shí)別分析、綜合統(tǒng)計(jì)分析和查詢統(tǒng)計(jì)分析等相關(guān)技術(shù)，通過長(zhǎng)期積累的經(jīng)驗(yàn)完成對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)上設(shè)備的信息識(shí)別，并將識(shí)別的信息和搜索結(jié)果通過圖、表、地圖等多種形式展現(xiàn)出來。

五、結(jié)語

隨著信息技術(shù)的不斷發(fā)展，企業(yè)的網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，需要這種通過基礎(chǔ)信息庫(kù)的構(gòu)建，通過資產(chǎn)基礎(chǔ)信息的識(shí)別，構(gòu)建網(wǎng)絡(luò)空間地圖，利用漏洞利用驗(yàn)證，展現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)，即時(shí)了解網(wǎng)絡(luò)風(fēng)險(xiǎn)分布狀況，設(shè)備運(yùn)行狀況，網(wǎng)絡(luò)和設(shè)備安全態(tài)勢(shì)狀況，并通過快速漏洞驗(yàn)證功能提供的針對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)上發(fā)現(xiàn)的漏洞進(jìn)行驗(yàn)證或發(fā)起攻擊的能力，利用主動(dòng)化的風(fēng)險(xiǎn)探知平臺(tái)保障網(wǎng)絡(luò)的信息系統(tǒng)的安全，確保信息系統(tǒng)中數(shù)據(jù)的安全，從而實(shí)現(xiàn)企業(yè)信息化的健康發(fā)展。

作者單位：中國(guó)電子科技集團(tuán)公司第三十四研究所