攻击者视角下的网络资产暴露面检测与防护方法研究.pdf
《攻击者视角下的网络资产暴露面检测与防护方法研究.pdf》由会员分享,可在线阅读,更多相关《攻击者视角下的网络资产暴露面检测与防护方法研究.pdf(8页珍藏版)》请在咨信网上搜索。
1、噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎高职高专院校的网络规模尧网络资产尧数据资源尧应用业务日趋复杂袁暴露出网络资产管理困难及暴露面未知等问题遥亟须以攻击者视角袁分析攻击者攻击过程袁从校园网网络资产探测和识别尧梳理和关联性分析尧暴露面检查及防御等方面构建网络资产测绘与治理方法遥研究探讨了网络资产识别与梳理的方法袁暴露面检查的方法袁并对暴露面资产提出了处置建议袁实现对暴露面资产可管可控袁降低暴露面资产的风险遥网络资产曰暴露面曰网络攻击曰网络安全TP393.08B1671-9123渊2023冤
2、03-0135-082023-05-26甘肃省教育厅高等学校创新基金项目渊2021B-374冤安晓瑞渊1985要冤袁男袁甘肃两当人袁陇南师范高等专科学校数学与信息技术学院讲师遥随着万物互联的数字时代的到来,5G、IPv6、人工智能、物联网等新兴技术快速应用与发展。高职高专院校(以下简称单位)业务的多元化以及各类 IT 支撑平台、业务系统的增多,与之对应包括主机、服务器、网络与安全硬件设备和各类业务系统软件在内的网络资产数量也呈快速增长态势,这将给单位网络安全工作带来前所未有的挑战。网络资产是网络安全管理的基石,网络资产梳理与暴露面收敛是持续开展网络安全体系建设的重要课题,网络资产的安全成为决定
3、整个网络安全建设是否达标的关键因素1。对于攻击者而言,攻击者利用信息收集识别单位互联网资产,探测暴露面,寻找攻击途径;突破内网后,单位内部所有网络资产暴露面将为攻击者提供更多便利和途径2。当前,高职高专院校对网络资产管理存在网络资产不清晰、风险不明确、防范不到位、处置不及时以及安全管理人员意识不强等问题,造成单位的网络安全防御面临较多的困难与风险3。具体表现为两个方面的突出问题,一方面单位对拥第 22 卷第 3 期三门峡职业技术学院学报 JOURNAL OF SANMENXIA POLYTECHNIC攻击者视角下的网络资产暴露面检测与防护方法研究因安晓瑞(陇南师范高等专科学校 数学与信息技术学
4、院,甘肃 成县 742500)技术与应用技术与应用/135噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎有应用系统、服务端口、漏洞等情况掌握不清楚,尤其暴露在互联网上的网络资产和服务未重视;另一方面单位缺乏对网络资产进行实时有效的安全管理的手段和意识。本文从单位业务运营管理的实际出发,首先分析了网络资产和暴露面的概念,网络资产暴露面管理流程任务;其次深入探讨了网络资产探测和识别、梳理和关联性分析,以业务为场景,帮助单位全面梳理网络资产,建立网络资产关联性画像;最后以攻击者视角探讨了排查网络资产暴
5、露面的方法,重点关注互联网资产及其风险,探索网络资产暴露面的安全防护方法。1 网络资产及其暴露面1.1 网络资产网络资产描述:一是使用单位分配 IP 地址接入网络的对象或单位网络内可被访问到的对象;二是单位网络内可被攻击者利用的设备、信息、应用等信息和资源4;三是单位内具有网络连通性和资源共享性且有价值的资源。对于高职高专院校来说,具体对象包括各类计算机设备、网络设备、安全设备、物联网设备,Web 服务、应用系统、中间件、容器、操作系统、数据库、IP、域名、App、API、源代码,以及连接在网络上的其他组件等。互联网资产是单位在互联网上提供服务(数据通信和资源共享)的网络资产或映射在互联网上的
6、网络资产。互联网资产隶属于网络资产。1.2 网络资产暴露面网络资产暴露面描述:一是以攻击者视角,攻击时可能被利用的网络资产、敏感信息、脆弱性风险等数据的集合5;二是单位的网络资产存在漏洞、服务、端口、弱口令等,以及泄露的敏感信息和缺乏安全措施的薄弱环节。对于高职高专院校来说,具体包括五个方面:一是未修复漏洞,硬件设备、操作系统、数据库、Web 服务、业务系统、中间件、容器等存在 0Day/1Day/NDay 漏洞和OWASP TOP 10 的 Web 漏洞;二是高危服务 端口,设备开放 SSH、Web、Telnet 等多种管理服务和端口;三是互联网中暴露的各类敏感信息,如端口 服务、中间件、源
7、码、漏洞等信息;四是弱访问控制,默认凭证(弱口令),远程连接软件,自身管理策略、访问控制策略、攻击检查策略的宽松;五是安全错误配置,Web 服务器错误配置,泄露敏感信息页面、URL 参数过滤不严格、HTTPHeaders 及选项等3。互联网资产暴露面特指互联网资产存在的暴露面,其属于网络资产暴露面。攻击者最先探测到的就是互联网资产暴露面,单位安全管理人员应提前检测和快速掌握单位在互联网的暴露面,提前知悉风险并进行安全加固。1.3 网络资产暴露面管理攻击者攻击过程分析,首先准备信息收集、扫描探测、口令爆破、漏洞利用、远程控制、WebShell、抓包分析、Kali Linux、Metasploit
8、 等各类工具;其次对互联网资产进行信息收集,梳理暴露面。以防守最薄弱的互联网资产为目标,设计攻击方式实施攻击;最后以当前主机为跳板,快速横向移动到内网中的核心网络资产,获取核心敏感数据和权限。由此可知,网络资产暴露面管理是以攻击者视角全面盘点单位内的网络资产,分析其存在的暴露面,确定其优先级并修复这些暴露面。高职高专院校以攻击者视角构建闭环暴露面管理体系见表 1。网络资产暴露面管理可分为两个方面,一方面资产明晰、台账健全、底数清楚。采用人工采集方式梳理内部网络资产,作为网络资产管理的基础台账,采用技术手段探测内部网络资产,两者汇总,完善和优化网络资产台账,重点标记出互联网资产。另一方面从攻击者
9、的视角出发,探测网络资产暴露面,建立暴露面资产安全风险清单,制定精细化安全策略,整改不安全的已知资产,修复问题资产4。攻击者视角下的网络资产暴露面检测与防护方法研究/技术与应用136噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎2 网络资产识别网络资产识别就是发现和分析掌握单位网络资产情况的过程。如果要取得比较好的资产探测效果,需要结合主动和被动两种方式,并且辅以一定的数据分析和挖掘能力。网络资产收集要力求详细全面,常见资产识别方法见表 2,多种技术手段相关配合,相互效验,相互补充。2.1 资产
10、采集2.1.1 建立资产基础台账从学校资产管理系统的仪器仪表、机电设备、电子设备、印刷机械、行政办公设备、无形资产等六类提取资产信息。具体包括计算机、网络设备、信息安全设备、终端设备、存储设备、复印机、照相机及器材、投影仪、多功能一体机、触控一体机、打印机、输入输出设备、文印设备、销毁设备、会计机械、制图机械无线电通信设备、移动通信(网)设备、光通设备、视频会议系统设备、数据数字通信设备等类型的资产。从无形资产提取域名、数据和计算机软件(基础软件、支撑软件、应用软件)等类型的资产。资产台账字段包括资产编号、资产分类、资产名称、型号、规格、设备编号、资产状态、生产厂商、存放地点、使用单位、使用人
11、、标识(很高、高、中等、低、很低)。三门峡职业技术学院学报 JOURNAL OF SANMENXIA POLYTECHNIC表1网络资产暴露面管理流程任务表步骤阶段任务内容结果1234盘点发现资产梳理分析研判响应处置网络资产的分级分类,绘制资产画像,以业务为场景绘制拓扑图收集资产清单,掌握网络资产信息,持续监测,保持最新资产表。确认网络边界和互联网资产,网络拓扑绘制,构建网络资产关系图谱。基于攻击者视角,从漏洞检测、威胁探测、基线配置核查等,认清风险,精准掌控网络资产的暴露面分布,快速确认安全风险范围、程度、对象。减少暴露面,降低被攻击风险,持续监控暴露面变化情况。已知资产,资产采集未知资产,
12、资产发现(主动扫描、被动扫描、网络空间搜索引擎及第三方工具)漏洞扫描高危服务/端口扫描敏感信息检测与分析安全基线检查与分析安全错误配置检查与分析整改处置安全风险等级保护测评基线配置网络资产动态监测机制表2网络资产识别方法表技术手段数据来源任务人工统计收集未知资产梳理,优化已知资产,完善和建立单位网络资产台账固定资产管理系统DHCP 服务器、核心交换机、边界防火墙DNS 服务器应用系统使用单位、招标采购部门单台服务器硬件及软件梳理,建立网络资产基础台账IP 资产梳理,建立 IP 地址基础台账域名及子域名梳理,建立域名基础台账应用系统梳理,建立应用系统基础台账服务器梳理,收集单台服务器信息主动扫描
13、分析被动流量分析第三方识别主机存活扫描、协议识别安全设备、网络设备网络空间搜索引擎、开源资产管理工具技术与应用/137噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎噎2.1.2 建立 IP 地址基础台账通过 IP 地址管理,可以更好地控制网络资源的分配和使用,提高网络的可靠性和稳定性,同时也可以有效地预防网络攻击。通过核心交换机、汇聚交换机、多业务网关、DHCP 服务器、内网防火墙、边界防火墙等,梳理出单位内所有使用的私网地址和公网地址。IP 基础台账字段包括 IP 地址/网段、子网掩码、Vlan
14、ID、Vlan 描述、被用设备、被用区域、分配方式(静态 动态)、用途(终端 业务 管理 互连)、访问网络(内网 公网)。2.1.3 建立域名 子域名基础台账攻击者对目标入侵之前会从目标的名称和域名入手。通过 DNS 服务器或者 DNS 设备,梳理单位内部所有使用的域名 子域名,标识登录界面 URL。域名基础台账字段包括记录名称、TTL、记录类型、记录值、注册时间、是否启用、使用系统、IP、使用单位、访问网络(内网 公网)。2.1.4 建立应用系统基础台账应用系统是攻击者攻击的重要目标。应用系统基础台账包括基本信息、等保情况、供应链管理三个部分。其中基本信息:系统类型(网站、业务系统、办公系统
15、、电子邮件、LED、云平台、App等),系统名称,功能描述,应用范围(本部门本级、社会公众、主管单位内部、其他),系统 URL,IP 地址,业务端口,应用模式(B/S、C/S),系统状态(在用、未用),标识(很高、高、中等、低、很低),服务器信息。等保情况:是否关键信息基础设施,定级备案(已定级、未定级、定级备案中),定级备案级别(一级、二级、三级、四级),等保定级备案系统名称,等保定级备案编号,等保备案机构,等保备案时间。供应链管理:软件类别(基础软件(操作系统、数据库、中间件)、支撑软件、应用软件),产品类别,版本号,供应商名称。2.1.5 单台服务器采集在服务器上运行着重要服务以及业务应
16、用服务、中间件和数据库等,服务器承担着数据存储、处理请求、提供服务、计算等重要任务,通过其安全机制和安全策略等手段,可确保数据和应用程序的安全。服务器收集主要包括网卡配置,操作系统及版本,安装的软件(名称 版本路径)、服务及端口、进程及会话、启动程序、计划任务、用户(用户账号 用户组 在线用户 用户权限)、补丁更新、网络共享、路由表及 ARP 缓存表、防火墙配置、安全策略等信息。2.2 主动扫描探测主动扫描是基于各种网络扫描技术对单位进行探测,根据探测的结果具体分析所反馈的网络资产信息。除专业的网络资产管理系统外,我们一般采用信息收集的方法,利用 Web 漏洞扫描、系统漏洞扫描、操作系统探测、
17、端口探测、服务探测、Web 爬虫等技术进行资产发现2。首先从 IP 或域名进行存活性探测,利用 ARP、ICMP、TCP 等网络协议识别存活的主机情况;其次利用SYN 扫描、Connect 扫描、UDP 扫描、TCPFIN扫描、NULL 扫描和 Xmas Tree 扫描6;最后通过开放端口、运行服务和提供应用探测等进行识别。常 见 的 网 络 扫 描 工 具 有 Nmap、Zmap、Masscan、Metasploit、fscan、Fiddler,AdvancedIPScanner、Snort、OpenSSH 等。2.3 被动流量识别被动扫描基于网络会话发现和识别网络资产,可从态势感知系统、防
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 攻击者 视角 网络 资产 暴露 检测 防护 方法 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。