中国教育网
|2023-01-14 16:53:32
0继陆、海、空、天之后,网络空间被视为第五疆域,成为各国博弈的新战场。近年来,网络安全事件频发,对国家、企事业单位及个人的信息安全造成巨大威胁。
但是在各级单位中,网络空间安全往往没有受到足够重视,一方面是部分人员网络安全意识淡薄,另一方面网络安全工作可见性不高,很难评估投入产出效能。
因此工作抓手非常关键,如果能够对网络空间资产进行全面动态摸底排查,对各类关联安全漏洞提供可视化呈现,再配合漏洞探测、风险评估、应急响应、整改加固、安全运维,就可以全面提升各单位安全工作的可见性。
相关技术情况
1.网络空间资产探测技术
资产探测分为主动和被动两类。
主动探测一般指采用无状态扫描技术,只需向目标端口发送TCP三次握手中的SYN包,忽略其他连接状态,通过回包来判断端口开放性的一种扫描技术。
由于这种扫描无须维护连接状态,判断逻辑简单,可最大限度地利用服务器的CPU和带宽资源快速完成端口开放性检测。以此为代表的有Zmap和Masscan,号称可以在几分钟内扫遍全球IPv4互联网。
被动探测指通过采集目标网络的流量,对流量中HTTP、SMTP等应用层协议数据包中的特殊指纹信息或TCP三次握手等指纹特征进行分析,从而实现对网络空间资产的无感知探测。
被动探测需要获得目标网络的流量,并经网络运营者授权方可进行,以此为代表的有网络分析框架Zeek等。
如果要取得比较好的资产探测效果,需要结合主动和被动两种方式,并且辅以一定的数据分析和挖掘能力。
2.漏洞扫描技术
漏洞扫描一般分为特征匹配和漏洞验证程序(Proof of Concept,简称POC)漏洞验证。
特征匹配技术指的是构造特定载荷发送到扫描对象,根据响应中是否存在相应特征,来判断漏洞是否存在。
例如宝塔面板曾经存在的未授权访问漏洞为可以匿名直接访问受保护的后台页面,扫描器发送目标网址为http://网站域名/pma的数据包,如果返回结果中存在状态码200OK的返回值,则说明漏洞可能存在。
这样的验证方式存在两个明显弊端,一是验证漏洞需要发送大量的数据包,容易被安全设备或服务器认定为攻击行为而进行拦截阻断;二是单纯发送带有某个验证规则的探测包,准确率低,容易产生误报。
POC验证实现了漏洞从发现到利用的全过程,首先模拟正常行为去访问可能存在漏洞的对象,再根据响应结果判断漏洞是否存在,从而减少批量验证造成安全设备的拦截。
成熟的POC通用性很强,可以针对不同版本的组件进行漏洞验证。大量安全类工具和网站集成和公布了漏洞利用POC,并有长期更新和维护,以此为代表的有Metasploit和www.exploit-db.com。
问题和挑战
1.通用扫描不适用于特定资产漏洞探测
当前的通用漏洞扫描器如Nessus等,侧重于对定义好的批量IP或网站进行周期性扫描。
如保护对象为特定资产,采用的漏洞扫描体系需具备与资产数据库发生数据联动的能力,以扫描特定网络空间资产、关注特定架构安全。
如果扫描器面对的网络空间资产处于“黑箱”状态,则需要进行大量的前期探测来猜解目标资产。
随着资产管理人员安全意识的提升,很多资产都取消或者隐藏了版本信息,并修改了可能暴露开放服务特征的信息,传统扫描器越来越难以获取到目标资产的准确信息。
2.主机扫描器侵入性强,可能带来风险
针对特定对象的漏洞扫描大多是侵入式的主机扫描,对于某些关键信息资产,引入全自动化的扫描器本身就是一种安全风险,扫描器本身的设计机制也可能对资产提供的服务产生负面影响。
扫描器缺少目标资产的详细服务信息,往往采用遍历法寻找开放端口和潜在漏洞,在短时间内会向目标对象发送大量的探测数据包。
目标资产处理能力不足时,这一行为可能会成为DoS(拒绝服务攻击)的来源,影响其对外正常提供服务。
对于某些配置了防火墙的资产,这一操作还可能触发防火墙本身的告警阻断机制,产生虚假警报,增加运维管理的工作量,同时干扰正常业务访问。
漏洞信息探测设计
针对上述问题,