1 产品概述
白泽攻击面管理系统以攻击者视角聚焦企业网络空间IT 资产,帮助客户时刻洞察网络
空间资产风险,主动掌控资产动态,及时缓解企业安全压力,为客户打造一套可快速构建的
实战化、自动化、智能化的安全风险监测平台。
2 需求分析
2.1 政策要求
最高指示
网络安全和信息化工作座谈会上,习总书记指出:要全面加强网络安全检查,摸清家底,
认清风险,找出漏洞,通报结果,督促整改
网络安全威胁和风险日益突出,安全防控能力薄弱,难以有效应对国家级、有组织的高
强度网络攻击
国家监管单位
公安部1960 号《贯彻落实网络安全等保制度和关保制度的指导意见》明确指出“梳理
网络资产,建立资产档案”
“网络安全等级保护和关键信息基础设施安全保护工作宣贯会”,公安部明确指出“收
敛互联网资产暴露面,加强攻击点管控”
省市网安中心
“护网”网络安全专项工作,将网络资产“底数清,情况明”作为首要的第一项工作,
且公安部每年例行“实战攻防演练”
长期不维护使用的“僵尸”系统务必确保全量关停下线
行业政策规范
金融行业标准《网上银行系统信息安全通用规范》规定
进行资产分类,综合分析面临的内外部威胁及可被威胁利用的脆弱性
定期对代码仓库、文件共享等网站进行检索,对非授权公开的源代码等敏感文件资产应
进行删除处理
2.2 需求痛点
”没有绝对安全的系统“网络攻击早已不是单纯的“炫技”行为,已逐步形成了以经济
和政治利益为目的的“工业化、产业化”攻击手段,企业为了对抗来自全球的攻击威胁,部
署了大量硬件和软件防护设备,做到这样系统就安全了吗?答案显然不是,因为并没有真正
以攻击者的视角去进行验证只是站在防守端,什么才是企业应用系统的弱点?哪些是可以被
黑客利用的?如何全面掌握企业资产暴露面?这些是企业急需解决的问题。
3 企业资产管理面临的挑战
企业资产庞大
随着企业规模越来越大,承载企业业务的资产也会越来越多,如果采用传统的资产管理
系统,需要大量的人为收集工作,这种方式存在:工作量大、收集不全和业务系统统计不准
确的问题。因为资产和业务系统都不会是单一的。
资产频繁变化
随着企业的发展,企业的业务快速变更,业务线的资产使用也会发生快速的变化;云平
台技术的大量采用,IP 地址是动态分配的,云上承载的业务系统也是快速变化的,可能昨
天还是一个IIS 系统的统计分析系统,今天就变成Nginx 的OA 系统了……企业如何应对这
种快速变化形势下的资产收集和应用系统指纹识别将是一个不小的挑战。
安全事件应急处理
高危安全漏洞事件每年都会发生很多起,且有越来越多的趋势。某个0day 或者Nday
漏洞事件突发,为了保护企事业单位,必须快速响应,确认受影响的资产个数和范围。
近期重大漏洞
Struts2 RCE
IOT 设备弱口令
PHPMailer RCE
ImageMagic RCE
Redis、Elasticsearch 未开启验证导致数据泄露
ES、CauchDB 等系统勒索事件
其它
如果企业有十万资产,如何快速定位哪些系统存在问题是一个巨大的挑战,使用传统扫
描器扫描,时间会长达几周,白泽攻击面管理系统只需要一次查询统计,一次扫描就可以完
成。
4 产品思路
采用主动扫描的方式,对网络资产数据进行全面、高效、精准的采集和分析,为网络安
全防护提供了坚实的数据基础,产品集成“漏洞扫描、资产合规性监测”等安全防护模块,
有效的解决了传统防御手段的被动处境,为企业的网络系统添加强大的安全监控和应急响应
能力,帮助企业有效的预测风险,精准的感知威胁,为企业的网络系统提供强有力的安全保
障。
系统通过以下三个步骤对企业的网络资产实施有效的安全防护:
第一步、全面梳理网络资产:网络资产是构成网络空间的基础元素,要想对网络空间进
行有效的安全管理和防护,首先要对网络资产进行全面、准确的梳理,清晰的掌握攻击面暴
露资产,这是开展网络安全工作极为重要的前提条件。
第二步、网络资产风险评估:对网络资产进行全方位的风险评估,主动发现网络资产上
面存在的安全漏洞、弱口令等可被攻击者利用的安全风险,同时结合资产的重要程度进行风
险分析,准确定位风险优先级,快速有效的解决潜在的威胁。
第三步、自动且持续的安全监测:持续监测分为资产漏洞和违规操作两部分。用户可以
通过创建周期性的漏洞扫描任务来持续监测资产漏洞;另外,企业需要根据自己的安全管理
规范制定网络资产合规性监测规则,让一切违规操作都可以被及时的发现和追溯,彻底杜绝
从内部产生的网络安全隐患。
5 白泽攻击面管理系统
白泽攻击面管理系统是北京云科安信科技有限公司开发的一款可以全面快速发现网络
资产,结合漏洞专扫、违规外联检测等技术,有效发现未知资产及威胁资产的高性能安全扫
描产品。
通过主动或被动方式收集、抓取、存储专用或通用网络中对外开放服务的资产,分析整
理不同种类的资产指纹信息(规则),借助全新的高性能扫描引擎,快速针对某一个POC
进行漏洞专扫,能够为用户提供网络资产管理、风险资产分析验证、违规资产外联预警、漏
洞影响范围统计等安全防护,帮助用户全面快速地开展安全管控业务。
系统通过实时全量采集设备镜像口流量,通过自有模型进行分析,自动发现违规外联行
为。
产品主要功能特点:
主动扫描、流量监控等多种资产采集方式,自动获取资产和开启的服务
识别资产指纹信息、类型、厂商等特征
资产标签化及多维度管理
内网资产违规外联检测
资产信息统计分析报表
漏洞专扫高效稳定
弱口令扫描
系统、业务功能设置管理
5.1 产品架构
白泽攻击面管理系统采用微服务、分布式架构,系统共分为资产数据采集层、资产数据
分析层、资产数据采集层三个层面及多维度资产发现、信息搜集、漏洞扫描三大核心模块,
依靠分布式部署及任务调度技术可以快速实现对资产的全面分析和风险识别探查。
白泽攻击面管理系统漏洞管理模块基于Java EE 的企业应用解决方案,以Spring
Framework 为核心,整合多种开源开发框架。实现包括数据管理、数据解析、数据展现、
数据分析、WebService 等等企业应用特性的Java 企业应用平台架构。
1. 系统以JDK 为基础,采用Spring Framework 作为架构的基础。
2. 数据处理使用MyBatis 框架来提高开发效率同时保证数据库层的高效率,后台用
MySQL 作为数据存储载体
3. 业务逻辑层使用DAO + DTO 的经典模式
4. 视图层技术使用JSP 和JQuery,结合MVVM 模式的vue.js 来显示应用MVC 模式,
系统分层清晰,同时支持分布式集群部署,将数据层与业务表现层物理分离,灵活适应各种
部署环境。
漏洞管理模块架构如下图,其层次结构可以划分为:数据源、采集层、数据层、业务逻
辑层、应用展现层。支持对多品牌异构漏洞扫描器、用户自定义漏洞数据、第三方互联网漏
洞平台的漏洞数据进行集中采集和分析,对异构漏洞数据进行标准化,将不规范、不标准、
英文的原始漏洞数据自动转变为符合CNNVD 漏洞标准的全中文漏洞数据,对组织当前资
产、漏洞、风险情况进行及时分析,掌握每一个漏洞数据状态,及时掌握微观到宏观不同层
级的漏洞态势。为后期的漏洞数据挖掘、深度漏洞数据分析提供技术支撑,提高风险管理水
平和效率。
白泽攻击面管理系统核心功能主要分三大层。资产数据采集层主要对目标资产进行信息
收集及域名、IP、端口等信息进行初步整理,资产数据分析层主要对数据采集层收集到的信
息进行安全漏洞扫描、服务及应用指纹识别、资产关联性分析、特征提取等深层次扫描和识
别,资产数据展示层主要对数据采集和数据分析层内容进行多维度分析和统计最后入库形成
可视化展示和管理。
白泽攻击面管理系统技术框架图
5.2 技术路线
白泽攻击面管理系统遵从公司一体化云平台、全业务统一数据中心等总体技术路线,在
信息安全等级保护体系基础上,充分借鉴行业内外典型企业资产测绘平台架构设计,采用微
服务模式进行构建其主要包括资产数据采集层、资产数据分析层、资产数据展示层三大模块。
5.3 关键技术难点及创新
近些年IPv4 互联网地址的逐渐耗尽,IPv6 互联网地址的快速广泛应用以及5G、物
联网等技术发展使得企业越来越多的资产需要暴露在互联网空间,更大的网络空间暴露面带
来了更多的网络空间安全威胁。特别是下级单位或分支机构较多的大型企业,对资产及高危
脆弱性的检查效率、准确性存在很多家底摸不清,安全状况不明的问题。
网络资产威胁监控及管理目前是通过漏洞扫描器定时对内外网应用进行漏洞扫描,人工
对资产进行收集、统计和管理,工作效率存在一定的局限性和弊端,亟需信息化手段支撑。
白泽攻击面管理系统是资产普查、风险探测、风险管理于一体的综合资产探测与详情展
示系统,结合漏洞发现检测技术和数据情报分析技术,可以实现对网络空间的IPv4 及域名
资产存活状态的快速探测,具备针对全网各类资产的精准发现、精准识别、精准威胁检测能
力。白泽攻击面管理系统以资产搜集、指纹检测、PoC 检测三大高性能检测引擎为基础,
依托资产指纹库、CVE 漏洞库、PoC 规则库等丰富的资源库,实现对网络空间资产的准确
识别、发现与安全检测,从而掌握网络空间资产安全风险态势,提升资产安全治理水平,降
低资产安全维护管理成本。
5.4 功能描述
AI 智能渗透:
通过大量自研POC 漏洞和国内外一流扫描引擎,结合8000+指纹识别规则,通过AI
算法自动实现插件式精准化渗透攻击验证。
基于安全基线的资产预警:
通过网站全链接内容监测分析,进行资产暴露预警,如监测违规端口开放(3389)、恶
意JS 脚本(挖矿、木马)、后门程序
自动化应用资产探查:
域名自动爆破,目前默认支持4 级域名探查;微信公众号、微信公众号链接探查;微
博账号自动化探查;IP+端口敏感目录探查;IP+端口网页标题探查;仿冒APP 探查
站点监测:
通过对网站的响应速度、解析速度、网站响应码、超时、404、502 等状态进行分析,
实时对网站的可用性进行监测和告警,可及时发现网站质量和故障信息。
外部资产发现:
通过对监测目标单位组织架构、人员等信息收集调取社工库等平台对信息进行检测实现
员工信息泄漏检测;对github 等开源社区,暗网交易平台进行监控,第一时间发现针对目
标单位的威胁情报,实时止损;针对常用网盘软件进行关键字探查
数字资产时间轴对比:
以攻击者视角对数字资产进行持续性的全生命周期监测,某些异常行为并不是持续性发
生,如异常端口开放等,通过持续性监测对比可发现数字资产中的偶发异常情况。
5.5 典型部署
a)SAAS 模式部署
b)本地化部署
6 产品特色
从攻击者角度出发,重新定义网络资产:传统意义上的资产,被定义为服务器和IT 设
备,仅限于从物理层清点资产,但是攻击者不止关注硬件设备,更多关注的是设备上承载的
业务系统,甚至是某个服务或中间件,所以网络资产管理仅仅管理主机和网络设备是远远不
够的。
白泽攻击面管理系统从安全角度出发,对每一个IP 进行画像,描述每一个IP 开放的端
口及服务、硬件载体以及承载的业务系统等软件成分,更加契合基于安全对资产的实际需求。
网络资产全覆盖,清晰掌握攻击暴露面资产:白泽攻击面管理系统提供多种部署和资产
数据采集方式,完美应对用户复杂且多变的网络环境,支持全端口、全协议的资产扫描,实
现网络资产的全面覆盖,让隐形资产无处遁形,不留管理盲点。
建立符合企业实际管理场景的资产管理模式:系统将网络资产与企业管理属性进行紧密
的结合,按照企业的实际管理需求进行分级和分类,例如:业务系统、组织结构、机房信息
等,从而为企业创造更多的管理价值。
提高攻击门槛,有效缩减90%攻击面:在资产细粒度清点的基础上,持续、全面透彻
地发现潜在风险及安全薄弱点。根据多维度的风险分析和精确到命令行的处理建议,帮助用
户及时处理重要安全风险,有效限制攻击者接触系统、发现漏洞和执行恶意代码,从而大大
提高系统的攻击门槛。
自动、持续的监测分析,及时发现重要的安全风险:系统会主动、持续性的监测所有网
络资产的安全漏洞、弱口令等,结合资产的重要程度进行风险分析,准确定位最急需处理的
风险,帮助企业快速、有效的进行安全防护。
7 产品优势
快速
白泽攻击面管理系统采用全球最领先的端口扫描程序,可快速获取到企业的存活资产,
比传统的NMAP 扫描器快很多倍;更适用于规模很大的企业和大规模的全网扫描。
全面
自主研发的协议识别程序有170 多种协议,包括260 多个端口;已经涵盖了主流的协
议(HTTP、FTP、SSH、TELNET、NETBIOS、RDP、各类数据库等,甚至还包含了各种
公开协议)。能够保证95%以上的开放了端口的协议都能识别和获取信息(协议banner、
http 的头部、http 的内容、证书信息等等)。
对没有开放任何端口的存活资产,使用ping 的方式来获取。
这两种方式可保证不遗漏任何存活资产。
准确
传统的NMAP 扫描器对防火墙开放端口的情况有大量的误报,而白泽攻击面管理系统
通过技术手段很好的解决了这部分误报,避免造成干扰。
白泽攻击面管理系统对连接重置等无法获取协议信息的情况默认不入库,我们只输出能
够准确识别出协议信息的资产,保证准确性。
标签后置和自定义
白泽攻击面管理系统的指纹标签通过后置的方式标记,可以随意重新打标签;更加灵活。
对于部分没有覆盖到的指纹规则,企业可以自行定义规则。
定制化
产品需求可定制;企业特有的协议可定制;针对特大规模的企业可定制白泽攻击面管理
系统集群版。
8 产品价值
合规性
白泽攻击面管理系统通过自主收录的55000 多条指纹规则,会对资产进行标签化管理;
指纹涵盖企业各种管理产品/组件(包括交换机、路由器、打印机、视频监控设备、OA 系
统、邮件系统、CRM、ERP 等等);方便企业快速统计某个业务应用的覆盖范围和详细资产
列表。
违规性
发现直连互联网行为,发现由于管理不足,造成内外网设备混用的行为;发现人员操作
疏忽,使用内网设备访问互联网服务的行为。
存活性
通过主动扫描、流量监控等多种资产采集方式,对企业资产进行全面的收集。领先的全
网端口扫描系统,只入库真正存活资产,解决防火墙开放端口误报问题。
脆弱性
通过漏洞专扫,发现威胁资产。通过自定义规则,发现隐患资产。
