网络信息普查与安全感知.pptVIP

* * * 远程主动扫描 内部串联部署 * 过去十年和未来几年的安全构建 * * * 全球影响范围 * 回顾一下事件发展和国内的影响 * 黑产调戏白帽子的话：白帽子忙着刷积分，黑产忙着数钱 * 黑产刷数据有多快？ * * 对黑产利用漏洞的方式认知不够 * * 对信息掌握不足和滞后 * * * * * * * * * * * * 通知精神 中国网络安全和信息化领导小组办公室文件—中网办[2014]一号文 指出： “网站安全防护手段滞后，安全保障能力不强” “切实落实信息安全等级保护等级要求，做好党政机关网站定级、备案、建设、整改和管理工作，加强应用安全管理” 结论：对国辖区内信息系统的基本情况的调查也是等级保护的基础性工作。对现有网络信息情况必须底数清楚！ 网络信息普查 ——底数清、手段明、动态知 底数清 网络信息、设备普查意义 我们心里是否存在这么多的？ 管辖范围内有多少设备？ 它们都用来做什么的？ 设备上运行了什么应用？ 设备上开放了什么端口？ 设备上的软件都是什么版本的？ 这些版是否已经存在已知漏洞？ 网上又爆出一个严重漏洞，究竟受不受影响？ 做到心中有数 分类分级 需要对管辖范围内的网络信息、设施设备进行普查，并分类、分级入库，形成资产数据库，方便检索和分析。 分类： 按设备用途：Web应用系统、网络设备、工控系统等； 按服务用途：邮件服务器、文件服务器、应用服务器； 按版本分、按地域分、按行业分…… 分类分级 入库信息 入库信息可分为以下几个层面： IP信息 包括：IP、域名、域名注册时间、所在地、返回码、开放端口等 指纹信息 包括：操作系统、服务类型、应用组件及版本、对应漏洞信息等 社会信息 包括：ICP备案信息、所属单位、所属机房、负责人等 技术壁垒 准确度 1）不能通过简单的字段抓取方式来识别： 无固定格式：Apache/2.2.19 (Unix) mod_ssl/2.2.19 OpenSSL 混淆：Ap4che,apchee,apacheDK,apache2 2）需要收集大量组件信息，并提取他们独有的指纹信息。 覆盖度 仅Web组件类型已超过500种，并且每个种类版本特征都不相同。 手段明 清对象：网络空间组成 网络空间，由无数节点所组成 节点设备，构成网络空间的最小物理单位 组件，构成节点设备的最小组成单位 系统特征 Web指纹 服务信息 清内容：切入点 输入：IP地址段 配置：需要探测的种类或具体指纹，常用端口或特殊端口； 扩展：每个指纹以插件形式存在，可随时扩展。 清方式：实际操作 例如：针对Web应用的指纹特征识别技术，主要采用三种方式 第一种，网站服务器返回的头部信息识别 清方法：如何具体识别 Web应用探测指纹识别 第二种，网站的页面数据中的特征识别，又分为以下三小类： 1）网页的meta标签 2） Powered by信息 3） Html注释 Web应用探测指纹识别 第三种， WEB应用独有的URL或者特殊文件探测 动态知 动态知 1. 安全是动态的：系统和软件当前没有漏洞，但未来随时有可能出现漏洞。 2. 安全是有时间窗口的：出现漏洞后，抢在黑客发现并攻击之前，抓住有限的时间窗口，第一时间进行修复； 做到提前掌握，随时应对。 3. 安全是变化的：管辖区域设备被大量新开放了某端口；行业内新增了某在线内容发布系统； 做到周期性监控，第一时间发现变化，防患于未然。 安全预警与感知 ——具体使用场景 快速响应 与时间赛跑：几大漏洞的“第一天” 342 2014年4月，eYou电子邮件系统漏洞，第一天政府网站影响范围342个 9425 2014年5月，ElasticSearch（用于大数据）远程代码执行漏洞，第一天全球影响范围9425个 20303 2013年7月，Struts2 S2-016漏洞，第一天政府网站影响范围20303个 33303 2014年4月，OpenSSL“心脏出血”漏洞，第一天国内网站影响范围33303个 现有手段 管辖内单位/部门人工自查，问题：时间长难度大； 安全厂商协助统计受影响列表；问题：覆盖面小 通过乌云等漏洞发布平台获取；问题：需要内部账号 通过Google hack进行关键字查询；问题：利用难度高且范围有限 通常危害较大的漏洞，需要至少2-3个人通宵达旦2天左右完成，危害较小的约需要7-15天左右；并且仍有一定比例的系统覆盖不到； 进行信息普查后 举例：某地网监总队，4月8日接到OpenSSL漏洞曝发信息 前提：该地区情况已探明，信息已入库 输入 1秒内列出检索结果为所有北京地区使用OpenSSL 1.0.1版本的设备，可进行通告或者向受影响设备的管理员手机号发送告警短信； 第二天进行再次探测，统计修复情况； 第一时间掌握其影响范围，及时进