专网空间测绘:基于资产的下一代扫描器

作者:星期四, 五月 18, 20170
分享:

近日,蠕虫勒索病毒WannaCry利用NSA的“永恒之蓝”(EternalBlue)漏洞袭卷全球网络,大规模感染全球电脑网络,波及近100个国家,我国大量行业企业内网遭到感染,将网络安全问题再一次推上了风口浪尖。

大家通常认为行业专网是比较安全的,但事实是内部网络由于漏洞修补滞后,攻击者或病毒一旦突破网络隔离,就很容易对内部发起攻击。由于内网的信息资产和数据价值更大,被攻击后影响也更为严重。这次的勒索病毒恰恰是通过违规边界,从互联网传进专网,然后在专网中大肆传播感染。所以,及时发现专网与互联网的违规通道,是专网防护的关键问题之一。

大型专网经过二十余年、多期工程的建设,内部设备数量繁多、种类型号复杂、业务应用堆叠,对设备资产的管理工作还停留在手动登记方式,很多设备和应用实际已无使用但仍未下线,资产台账和线上设备难以吻合,一旦发生安全事件,这些脱管设备很容易成为黑客和病毒发动攻击的支点。此次勒索病毒扩散事件,大量废旧系统被感染,成为蠕虫传播的根据地。

传统基于主机漏洞和网络漏洞的扫描器均是通过漏洞逐项验证的方式,对IP进行盲目轮询扫描,效率低下,误报率较高,当风险发生时,很难在短时间内有效探测影响范围,拉长了风险扩散周期,造成威胁不能被第一时间处理。并且,其功能单一,不能够满足逐步发展的安全管理和技术发展需求。当安全事件发生时,处置过程中暴露出传统安全管理和技术措施上存在的掣肘问题:

管理方面

  • 资产管理方式落后、更新缓慢,无法核验;
  • 资产数量庞大,业务系统繁杂多样,快速变动;
  • 员工私搭服务、乱建系统,或未按规定开启服务或端口;
  • 事件通报、处置、反馈周期长且信息缺失;

技术方面:

  • 无法事前或事中快速对存在风险的资产进行精准定位,掌握风险态势;
  • 传统逐项验证的漏洞扫描模式,时间耗费长,无法应对当今黑客单漏洞盲打的攻击方式;
  • 现有的基于软件终端的违规外联检测工具,无法覆盖种类繁多的网络设备,漏报率高;

为应对以上问题,公安部第一研究所联合北京白帽汇科技有限公司,以“网络空间测绘 实时风险预警”为目标,将于5月下旬共同推出“网探D01·下一代扫描器(NGScanner)”。

该设备具有四大主要功能:

  • 资产测绘:依托5500余种规则,有效测绘包括IP、资产名称、开放端口、通信协议、操作系统、设备类型、所属厂商、应用组件等信息,形成资产信息库;
  • 资产管理:支持可扩展的标签化管理,将资产信息进行分类整理,通过可视化的方式实现资产分类、统计与报表输出,并可进行灵活的组合查询、快速定位资产;
  • 风险评估:通过轮询资产指纹,维护存活资产库,当风险发生时,以最新漏洞POC、风险特征等规则进行专项验证,可精准描绘漏洞风险影响面,缩短验证周期;
  • 违规外联预警:通过流量监测,自动发现内网环境下连通互联网的风险设备点,上报设备信息,及时预警。

通过以上功能,帮助企业建立健全资产管理的合规性流程,监控资产设备使用是否规范;通过对违规外联资产的检测,发现企业内部的违规性行为;领先的全网端口扫描,解决防火墙误报问题,只入库存活资产;精准推送资产漏洞POC并结合特制漏洞专扫、弱口令专扫等,发现企业的脆弱性资产;实现企业网络资产合规性、违规性、存活性、脆弱性的综合检测与评估。同样的,该设备也适用于互联网中安全监管部门,方便其对本地重要信息系统资产、物联网设备资产等了解和掌控。

公安部第一研究所 信息安全部

网址: www.fri.com.cn

 

分享:

相关文章

写一条评论

 

 

0条评论