华顺信安CSO邓焕:网络空间测绘是网络安全的基石

2020/10/20 10:23:56

一、第五空间的安全威胁无处不在

随着互联网与计算机网络技术的飞速发展,网络融入到人类生活中的方方面面。而网络空间(英文名称cyber space),现在已经被认为是除海、陆、空、和太空之外的第五大空间。网络空间相比于前四大空间有很大的不同主要由信息化的软硬件和数字化的信息流组成,虚拟无形,看不见摸不着。第五空间的安全也就是网络安全问题关系着小到个人、企业/组织的安全,大到国家军事外交、经济社会等领域的发展。一旦网络安全受到了威胁,所有基于互联网运行的社会上的政治、经济、人文系统将会受到威胁。更可怕的是,网络安全是整体的而不是割裂的,习主席倡导“总体国家安全观”,网络安全对国家安全牵一发而动全身,所以,习主席指出:没有网络安全就没有国家安全。近年来,网络安全事件多有发生,因互联网应用遭受攻击而导致的经济损失巨大并有逐年增加的趋势,我国的基础网络和关键基础设施也同样面临着巨大的安全风险隐患,网络攻防战无处不在。

二、网络攻防战的十八般武器

与传统的实体战争不同,网络战具有“战场无形”、“战法不定”、“战机难测”的特点,网络战发生时间、地点、对手和武器都是难以预测,无规则可随着互联网安全的发展,网络攻防战也从单方面的攻击与防御,演变为攻防博弈和几乎不限手法的对抗演习,攻防战较量的不仅仅是技法,还包括战术打法、心态与体力的考验。

 

攻防战中攻击方需要提前收集充足且准确的信息,需要有大量漏洞、0day、攻击工具的储备,并且需要队友之间外网渗透、内网渗透、社工钓鱼、报告编写等方面的分工配合,每一个环节都很关键,缺一不可。攻击的同时还需要通过VPN、代理等方式隐藏自身,防止被防守方溯源到。

 

防守方在攻防战中需要分析攻击方式,定位攻击IP,进而定位到真正的攻击对手,做到有效快速防御。我们常见的网络安全防御技术,比如防火墙,杀毒软件,WAFIDSIPS,以及浏览器隔离等解决方案,都是在阻断或者保护隔离的方式进行防御这两年各种蜜罐,威胁情报,以及流量监控等技术的兴起,扭转了之前被动防御的局面,将防御转变到主动防御的局面蜜罐来说,蜜罐可吸引攻击方攻击,消耗对方时间与精力,也可为防守方溯源提供大量的有效信息,帮助防守方定位攻击者,从而达到更精准的阻断与防御但是在“攻,防”战中永远都是一个博弈,任何防御技术并非能解决100%的问题例如蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图较为有限,不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控也不能直接防护有漏洞的信息系统,甚至部署不当还会带来潜在威胁,所以整个防御体系更多的需要一个整体方案,从入口收敛(互联网暴露面),到纵深防御重点防御,再到主动防御。所以我们今天探讨的就是关于网络安全的第一步——如何收敛和集中互联网出入口,摸清家底,不再资产盲区的问题。

 

研究了大量的网络攻防战黑天鹅事件之后,我们不难发现:在真正的网络攻防战中,攻击队似乎永远是胜利的一方。下面我们来挖掘一下出现这样的局面的原因。

三、网络对抗战现状:攻防不对等

在企业内部,网络资产的管理一般是通过管理人员对下级单位的上报数据整理而得到的。那么企业网络资产的准确性和完整性就完全依赖于网络资产统计进行的频率及收集到的资产的准确性和完整性。如果网络资产统计不及时,就会导致暴露在公网的资产未被及时登记台账,所以被攻击时就会被防守方漏掉。下面是华顺信安做的攻击面地图的梳理图:


攻防不对称图.png 


从上图可以看出:防守者和攻击者获取到的网络资产是不对等的。在网络对抗战中,攻防两方共同关注的网络资产有:硬件设备,操作系统,IP,数据库这些基础的层面。防守方还会登记打印机,扫描机之类的外设。攻击者关注的是:中间件业务应用证书域名、移动设备、物联网设备等防守方不关注的方向。攻防双方的错位,导致了传统的防御往往是失效的,许许多多优秀安全厂商做出许多优秀的安全防护产品,如同给用户制作了一个坚不可摧的头盔,而攻击方的思路并不去撼动这个头盔转而注意用户的脖子是暴露的进而完成致命一击。所以最后的结果是防守失败,攻击方轻松获胜。

 

另外,在网络攻防中,攻击者发起攻击的时间是不确定的,很有可能就是管理人员警惕性最低的时间,所以时间也是不对等的。因此,攻防不对等是当今网络战现实的写照。

四、网络攻防战胜负的关键点剖析

其实从上文中我们可以知道:网络攻防中关键点,除了必备的漏洞武器等核心资源储备更多需要对目标的“了解,掌握”。对于网络攻防,或者目前更多称为的”红蓝军”对抗中,我们对一个目标进行渗透,最终想要控制到目标,任何情况下首先需要做的就是掌握对方的环境与运行情况。比如资产情况,互联网暴露的入口、IP地址段等等一系列情报,网络中运行有哪些物理设备,设备上拥有哪些软件,只有在精准的掌握到这些细节的前提下才能对目标进行精准的漏洞挖掘以及利用,达到攻击的效果。目前随着网络空间的变化,信息化建设技术不断的成熟,越来的多的设备系统接入到了互联网,形成了“万物互联”的局面,从原来单点“死磕”的攻击方式,到现在成片规模化漏洞挖掘探测,也就是现在开始逐渐被大家所使用的网络空间测绘技术,就是一种典型的新型攻击探测技术,而这一场景应用,也正是目前主流的攻防“事前”动作,这也恰恰说明在任何一场攻防对抗中信息情报的掌握对于成功与否都起着至关重要的作用。

五、为什么说网络空间测绘技术是网络安全的基础

对于真实世界而言,不论是古代战争还是现代战争,在行军打战之前,必须有侦察兵先侦查对方的地形、驻防、兵力等各种信息,是行军打战取得战争胜利的基础和关键因素。真实世界中,测绘技术帮助人类通过地图来了解自身所处的位置周边环境敌方所处位置、分析敌方进攻点和周边环境,协助交战双方从地理层面做到“知己知彼,百战不殆”。这张地图就是战争双方必备的武器。而在网络空间的战争中,也就是网络对抗中,也要谈“知己知彼”,如果连自己的“家底”都不能实时、准确的掌握,又谈何攻防。因此,如何将网络空间、地理空间和社会空间进行相互映射,将虚拟、动态的网络空间绘制成一份动态、实时、可靠、有效的网络空间攻防地图,为决策者提供有价值的战略情报信息,降低决策的不确定性,必然成为网络安全领域中的一项重要的先行工作。也就是说,要想实现一个精准、实时、智能的网络空间安全态势感知体系,首先要掌握这张虚拟空间资产的“地图”,地图上的一切信息,都需要用网络空间测绘技术来绘制可以说网络空间测绘技术是网络安全的基础,是网络安全管理中的至关重要的第一环。

 




北京华顺信安信息技术有限公司是一家专注于安全大数据、网络空间测绘的互联网安全公司,主要从事网络信息安全领域的技术和产品研发工作,为国家网络安全提供技术支持,为政企用户提供顶级网络信息安全防护服务。华顺信安在提高国家和企业网络安全能力,维护我国网络安全做了大量的基础性工作。包括支持国家信息安全漏洞库建设、协助公安部队对关键信息基础设施网络资产测绘与漏洞排查、积极参与对政府部门网络安全压力测试、参与2018年中非高峰合作论坛安保工作、定期发布网络安全研究报告、帮助政府部门应对WannaCry的勒索病毒的攻击等。

 

在企业端,通过多年的持续发力,华顺信安的产品、技术和服务已广泛应用于医疗、水利、交通、能源、金融、电信等行业,为多家千万级订单的央企用户量身定制了网络空间测绘整体解决方案,提供“全面”、“快速”、“精准”的企业内网及互联网侧的资产及风险管理,通过资产普查及精准POC验证,强化了企业网络资产治理和安全防护水平,并得到了用户的进一步认可,已经成为国内网络空间测绘赛道的领跑者。


想要更多了解网络空间测绘技术,请持续关注华顺信安《技术大咖一席谈》!


华顺信安公众号二维码.jpg